Los investigadores de ciberseguridad han revelado una defecto de seguridad de entrada severidad ahora parada en Cursor, un editor de código de inteligencia químico (IA) popular, que podría resultar en una ejecución de código remoto.
La vulnerabilidad, rastreada como CVE-2025-54135 (Puntuación CVSS: 8.6), se ha abordado en la traducción 1.3 animado el 29 de julio de 2025. Ha sido llamado Curxecute de AIM Labs, que previamente reveló Echoleak.
«El cursor se ejecuta con privilegios a nivel de desarrollador, y cuando se combina con un servidor MCP que obtiene datos externos no confiables, esos datos pueden redirigir el flujo de control del agente y explotar esos privilegios», dijo el equipo de AIM Labs en un documentación compartido con las noticiero del hacker.
«Al fomentar datos envenenados al agente a través de MCP, un atacante puede obtener la ejecución completa del código remoto bajo los privilegios del beneficiario y obtener cualquier cantidad de cosas, incluidas las oportunidades de ransomware, robo de datos, manipulación de IA y alucinaciones, etc.»
En otras palabras, la ejecución del código remoto activado por una sola inyección de inmediato de hostigación externamente que reescribe silenciosamente el archivo «~/.cursor/mcp.json» y ejecuta comandos controlados por el atacante.
La vulnerabilidad es similar a Echoleak en que las herramientas, que están expuestas por los servidores del Protocolo de control de modelos (MCP) para los modelos de IA y facilitan la interacción con sistemas externos, como consultar bases de datos o invocar API, podrían obtener datos no confiables que puedan envenenar el comportamiento esperado del agente.
Específicamente, AIM Security descubrió que el archivo MCP.JSON utilizado para configurar los servidores MCP personalizados en el cursor puede desencadenar la ejecución de cualquier entrada nueva (por ejemplo, unir un servidor MCP Slack) sin requerir ninguna confirmación.
Este modo necesario es particularmente peligroso porque puede conducir a la ejecución cibernética de una carga útil maliciosa que el atacante inyecta a través de un mensaje flojo. La secuencia de ataque procede de la próximo guisa –
- El beneficiario agrega Slack MCP Server a través de la interfaz de beneficiario de Cursor
- Mensaje de publicaciones del atacante en un canal manifiesto de holgura con la carga útil de inyección de comando
- La víctima abre un nuevo chat y le pide al agente de Cursor que use el servidor Slack MCP recién configurado para resumir sus mensajes en un aviso: «Use herramientas Slack para resumir mis mensajes»
- El agente encuentra un mensaje especialmente minucioso diseñado para inyectar comandos maliciosos a su contexto
«La causa central de la defecto es que las nuevas entradas al archivo Total MCP JSON están comenzando automáticamente», dijo Aim Security. «Incluso si la tirada es rechazada, la ejecución del código ya había sucedido».
Todo el ataque es extraordinario por su simplicidad. Pero igualmente destaca cómo las herramientas asistidas por AI-AI pueden cascar nuevas superficies de ataque al procesar contenido foráneo, en este caso, cualquier servidor de MCP de terceros.
«A medida que los agentes de IA sigan unir mundos externos, internos e interactivos, los modelos de seguridad deben admitir que el contexto foráneo puede afectar el tiempo de ejecución del agente y monitorear cada brinco», agregó la compañía.
La traducción 1.3 del cursor igualmente aborda otro problema con el modo necesario que puede eludir fácilmente las protecciones basadas en el denylista de la plataforma utilizando métodos como la codificación de base64, los scripts de shell y la encerración de los comandos de shell adentro de las citas (por ejemplo, «E» Cho Cho) para ejecutar comandos inseguros.
A posteriori de la divulgación responsable del equipo de investigación de mostrador de inactividad, Cursor ha legado el paso de desaprobar por completo la función Denylist para auto-carrera a amparo de una serie de algodín.
«No espere que las soluciones de seguridad incorporadas proporcionadas por las plataformas de codificación VIBE sean integrales o infalibles», dijeron los investigadores Mustafa Naamneh y Micah Gold. «La responsabilidad se encuentra en organizaciones de beneficiario final para respaldar que los sistemas de agente estén equipados con barandillas adecuadas».
La divulgación se produce cuando Hiddenlayer igualmente descubrió que el enfoque del denylista ineficaz del cursor se puede armarse incrustando instrucciones maliciosas ocultas con un archivo GitHub ReadMe.md, permitiendo a un atacante robar claves API, credenciales de SSH e incluso ejecutar comandos de sistema bloqueados.
«Cuando la víctima vio el tesina en GitHub, la inyección rápida no era visible, y le pidieron a Cursor que clonara el tesina y los ayudara a establecerlo, una ocurrencia global para un sistema de agente basado en IDE», señalaron los investigadores Kasimir Schulz, Kenneth Yeung y Tom Bonner.
«Sin bloqueo, posteriormente de clonar el tesina y revisar el ReadMe para ver las instrucciones para configurar el tesina, la inyección de inmediato se hizo cargo del maniquí AI y la obligó a usar la aparejo GREP para encontrar cualquier tecla en el espacio de trabajo del beneficiario antiguamente de exfiltrar las claves con rizo».
Hiddenlayer dijo que igualmente encontró debilidades adicionales que podrían abusarse de filtrar el indicador del sistema del cursor al anular la URL pulvínulo proporcionada para las solicitudes de API de OpenAI a un maniquí proxiado, así como exfiltrar las claves SSH privadas de un beneficiario al usar dos herramientas benignas, Read_File y Create_Diagram, en lo que se flama una combinación de combinación de herramientas.
Esto esencialmente implica insertar un comando de inyección de inmediato adentro de un archivo GitHub ReadMe.md que está analizado por el cursor cuando el beneficiario de la víctima le pide al editor de códigos que resume el archivo, lo que resulta en la ejecución del comando.
https://www.youtube.com/watch?v=jyrceponqks
La instrucción oculta, por su parte, utiliza la aparejo Read_file para interpretar las claves SSH privadas que pertenecen al beneficiario y luego utiliza la aparejo Create_Diagram para exfiltrar las teclas a una URL de sitio web de sitios controlado por el atacante. Todas las deficiencias identificadas han sido remediadas por el cursor en la traducción 1.3.
La nota de varias vulnerabilidades en el cursor se produce cuando TraceBit ideó un ataque dirigido a la CLI Gemini de Google, una aparejo de rasgo de código extenso ajustada para las tareas de codificación, que explotó una configuración predeterminada de la aparejo para exfiltrar los datos confilados subrepticiamente a un servidor controlado por el atacante con curvas.
Como observado en el caso del cursor, el ataque requiere que la víctima (1) instruya a Gemini CLI que interactúe con una pulvínulo de código GitHub creada por el atacante que contenga una inyección indirecta indirecta en el archivo de contexto Gemini.MD y (2) agregue un comando benign a una serie de arrendamiento (EG, Grep).
«La inyección inmediata dirigida a estos fundamentos, adyacente con problemas significativos de brío y visualización adentro de Gemini CLI podría causar una ejecución de código arbitraria indetectable», dijo el fundador de TraceBit y CTO Sam Cox.
Para mitigar el peligro planteado por el ataque, se aconseja a los usuarios de Gemini CLI que actualicen sus instalaciones a la traducción 0.1.14 enviada el 25 de julio de 2025.
