- 19,478
- 40
- 8 Ноя 2022
В Cursor обнаружена критическая брешь для тихих атак без вложений, вирусов и ссылок.
В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, Для просмотра ссылки Войдиили Зарегистрируйся критическая уязвимость, получившая идентификатор CVE-2025-54135 и условное название <strong>CurXecute</strong>. Она присутствует почти во всех версиях IDE и позволяет Для просмотра ссылки Войди или Зарегистрируйся произвольные команды с правами пользователя — достаточно лишь сформировать вредоносный запрос к агенту.
Cursor поддерживает протокол Model Context Protocol (MCP), с помощью которого встроенный ИИ-ассистент может подключаться к внешним источникам данных — таким как Slack, GitHub или базы данных — и выполнять их команды на основе обычного текста. Как пояснили в Aim Security, именно возможность взаимодействия с внешними системами превращает агента в уязвимый компонент, поскольку он начинает обрабатывать недоверенную информацию, которая может изменить его поведение.
Уязвимость связана с так называемой атакой через внедрение подсказки — техникой, при которой специально подобранный текст заставляет ИИ выполнять команды, не предназначенные пользователем. Подобные механизмы ранее уже применялись, в частности, в Microsoft 365 Copilot, где аналогичная уязвимость позволяла извлекать конфиденциальные данные без участия пользователя. Проблема усугубляется тем, что Для просмотра ссылки Войдиили Зарегистрируйся зачастую содержит уязвимости, которые разработчики не замечают.
MCP-конфигурация Cursor хранится в файле <code>~/.cursor/mcp.json</code>, расположенном в директории проекта. Исследователи обнаружили, что изменения в этом файле вступают в силу сразу — даже если пользователь отклоняет предложенные ИИ правки. Это позволяет злоумышленнику, внедрившему вредоносную инструкцию в внешний источник, изменить конфигурацию MCP и включить выполнение произвольного кода.
Один из возможных сценариев: злоумышленник размещает вредоносное сообщение в открытом Slack-канале, подключённом к проекту. Когда пользователь открывает чат и просит ИИ подвести итоги переписки, агент обрабатывает полученные данные и незаметно сохраняет вредоносную настройку на диск. Это может быть, например, команда запуска оболочки или скрипта.
Аналитики подчёркивают, что в зоне риска оказываются все внешние MCP-серверы, обрабатывающие данные из ненадёжных источников — от систем отслеживания задач до клиентской поддержки и поисковых движков. Одна вредоносная запись способна превратить локального агента в средство удалённого управления. Учитывая, что Для просмотра ссылки Войдиили Зарегистрируйся часто содержат уязвимости, проблема становится ещё серьёзнее.
Возможные последствия включают установку Для просмотра ссылки Войдиили Зарегистрируйся , кражу данных, разрушение логики проекта через генерацию недостоверных результатов и атаки с подменой зависимостей (slopsquatting).
О проблеме сообщили разработчикам Cursor 7 июля 2025 года, и уже на следующий день исправление было включено в основную ветку. Финальный патч вышел 29 июля вместе с релизом <strong>Cursor 1.3</strong>. Брешь получила оценку 8.6 баллов по шкале CVSS и классифицирована как проблема средней степени критичности.
Пользователям настоятельно рекомендуется как можно скорее обновиться до актуальной версии, чтобы исключить риск Для просмотра ссылки Войдиили Зарегистрируйся команд через внешние MCP-источники.
В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, Для просмотра ссылки Войди
Cursor поддерживает протокол Model Context Protocol (MCP), с помощью которого встроенный ИИ-ассистент может подключаться к внешним источникам данных — таким как Slack, GitHub или базы данных — и выполнять их команды на основе обычного текста. Как пояснили в Aim Security, именно возможность взаимодействия с внешними системами превращает агента в уязвимый компонент, поскольку он начинает обрабатывать недоверенную информацию, которая может изменить его поведение.
Уязвимость связана с так называемой атакой через внедрение подсказки — техникой, при которой специально подобранный текст заставляет ИИ выполнять команды, не предназначенные пользователем. Подобные механизмы ранее уже применялись, в частности, в Microsoft 365 Copilot, где аналогичная уязвимость позволяла извлекать конфиденциальные данные без участия пользователя. Проблема усугубляется тем, что Для просмотра ссылки Войди
MCP-конфигурация Cursor хранится в файле <code>~/.cursor/mcp.json</code>, расположенном в директории проекта. Исследователи обнаружили, что изменения в этом файле вступают в силу сразу — даже если пользователь отклоняет предложенные ИИ правки. Это позволяет злоумышленнику, внедрившему вредоносную инструкцию в внешний источник, изменить конфигурацию MCP и включить выполнение произвольного кода.
Один из возможных сценариев: злоумышленник размещает вредоносное сообщение в открытом Slack-канале, подключённом к проекту. Когда пользователь открывает чат и просит ИИ подвести итоги переписки, агент обрабатывает полученные данные и незаметно сохраняет вредоносную настройку на диск. Это может быть, например, команда запуска оболочки или скрипта.
Аналитики подчёркивают, что в зоне риска оказываются все внешние MCP-серверы, обрабатывающие данные из ненадёжных источников — от систем отслеживания задач до клиентской поддержки и поисковых движков. Одна вредоносная запись способна превратить локального агента в средство удалённого управления. Учитывая, что Для просмотра ссылки Войди
Возможные последствия включают установку Для просмотра ссылки Войди
О проблеме сообщили разработчикам Cursor 7 июля 2025 года, и уже на следующий день исправление было включено в основную ветку. Финальный патч вышел 29 июля вместе с релизом <strong>Cursor 1.3</strong>. Брешь получила оценку 8.6 баллов по шкале CVSS и классифицирована как проблема средней степени критичности.
Пользователям настоятельно рекомендуется как можно скорее обновиться до актуальной версии, чтобы исключить риск Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
