Kerentanan yang oleh para peneliti menyebut Curxecute hadir di hampir semua versi kursor editor kode bertenaga AI, dan dapat dieksploitasi untuk menjalankan kode jarak jauh dengan hak istimewa pengembang.
Masalah keamanan sekarang diidentifikasi sebagai CVE-2025-54135 dan dapat dimanfaatkan dengan memberi makan agen AI prompt jahat untuk memicu perintah pengendalian penyerang.
Lingkungan pengembangan terintegrasi (IDE) kursor bergantung pada agen AI untuk membantu pengembang kode lebih cepat dan lebih efisien, memungkinkan mereka untuk terhubung dengan sumber daya dan sistem eksternal menggunakan model konteks protokol (MCP).
Menurut para peneliti, seorang peretas berhasil mengeksploitasi kerentanan curxecute dapat membuka pintu untuk ransomware dan insiden pencurian data.
Serangan injeksi cepat
Curxecute mirip dengan Kerentanan Echoleak di Microsoft 365 Copilot Itu bisa digunakan untuk mencuri data sensitif tanpa interaksi pengguna.
Setelah menemukan dan memahami Echoleak, para peneliti di AIM Security, sebuah perusahaan cybersecurity AI, mengetahui bahwa bahkan agen AI lokal dapat dipengaruhi oleh faktor eksternal untuk tindakan jahat.
IDE kursor memiliki dukungan untuk kerangka kerja standar terbuka MCP, yang memperluas kemampuan dan konteks agen dengan memungkinkannya untuk terhubung ke sumber dan alat data eksternal.
“MCP Mengubah Agen Lokal Menjadi Pisau Swiss -Army dengan membiarkannya memutar server sewenang -wenang – slack, github, database – dan panggil mereka peralatan dari bahasa alami ” – Keamanan AIM
Namun, para peneliti memperingatkan bahwa ini dapat mengkompromikan agen karena terpapar pada data eksternal yang tidak dipercaya yang dapat mempengaruhi aliran kontrolnya.
Seorang peretas dapat memanfaatkan ini untuk membajak sesi agen dan hak istimewa untuk bertindak atas nama pengguna.
Dengan menggunakan injeksi cepat yang di-host eksternal, seorang penyerang dapat menulis ulang ~/.cursor/mcp.json File di direktori proyek untuk mengaktifkan eksekusi jarak jauh dari perintah sewenang -wenang.
Para peneliti menjelaskan bahwa kursor tidak memerlukan konfirmasi untuk melaksanakan entri baru ke ~/.cursor/mcp.json File dan suntingan yang disarankan untuk hidup dan memicu eksekusi perintah bahkan jika pengguna menolaknya.
Dalam laporan yang dibagikan dengan BleepingComputer, AIM Security mengatakan bahwa menambahkan ke kursor server MCP standar, seperti Slack, dapat mengekspos agen ke data yang tidak dipercaya.
Seorang penyerang dapat memposting ke saluran publik prompt jahat dengan muatan injeksi untuk mcp.json file konfigurasi.
Ketika korban membuka obrolan baru dan menginstruksikan agen untuk meringkas pesan, muatan, yang bisa menjadi shell, mendarat di disk segera tanpa persetujuan pengguna.
“Permukaan serangannya setiap Server MCP pihak ketiga yang memproses Konten Eksternal: Pelacak Masalah, Kotak Masuk Dukungan Pelanggan, bahkan mesin pencari. Dokumen beracun tunggal dapat mengubah agen AI menjadi cangkang lokal ” – – Keamanan AIM
Para peneliti membuat video untuk menunjukkan bagaimana curxecute dapat dimanfaatkan dalam serangan:
AIM Security Peneliti mengatakan bahwa serangan curxecute dapat menyebabkan ransomware dan insiden pencurian data, atau bahkan manipulasi AI melalui halusinasi yang dapat merusak proyek, atau memungkinkan serangan slopsquatting.
Para peneliti melaporkan curxecute secara pribadi ke kursor pada 7 Juli dan hari berikutnya vendor menggabungkan tambalan ke cabang utama.
Pada 29 Juli, kursor versi 1.3 dirilis dengan beberapa perbaikan dan perbaikan untuk curxecute. Kursor juga menerbitkan a Penasihat Keamanan untuk CVE-2025-54135, yang menerima skor medium-severitas 8,6.
Pengguna disarankan untuk mengunduh dan menginstal versi terbaru dari kursor untuk menghindari risiko keamanan yang diketahui.
