Los investigadores de seguridad cibernética han revelado los fallas de seguridad de alto nivel de alto nivel y alto nivel, un editor de código de inteligencia artificial (IA) popular, que podría conducir a la ejecución de código remoto.
La vulnerabilidad rastreada como CVE-2025-54135 (puntaje CVSS: 8.6) se aborda en la versión 1.3, lanzada el 29 de julio de 2025. AIM Labs lo llama Curxecute, que previamente reveló fugas de eco.
«Cuando un cursor se ejecuta con privilegios a nivel de desarrollador y pares con un servidor MCP que recupera datos externos no confiables, esos datos pueden redirigir el flujo de control del agente y aprovechar esos privilegios».
«Al proporcionar datos de adicción a los agentes a través de MCP, los atacantes pueden obtener la ejecución completa del código remoto bajo privilegios de los usuarios, logrando todo, desde ransomware, robo de datos, manipulación de IA, alucinación y más».
En otras palabras, la ejecución del código remoto activado por una inyección de inmediato publicada externamente que reescribe en silencio el archivo «~/.cursor/mcp.json» y ejecuta un comando de control del atacante.
La vulnerabilidad es similar a las fugas de eco en que las herramientas expuestas por los servidores del Protocolo de control del modelo (MCP) utilizados por los modelos de IA y expuestos por los servidores del Protocolo de control de modelos (MCP) pueden recuperar datos no confiables que podrían envenenar el comportamiento esperado del agente para envenenarse con el comportamiento esperado del agente.
Específicamente, AIM Security ha descubierto que el archivo MCP.JSON utilizado para configurar los servidores MCP personalizados en el cursor puede desencadenar la ejecución de nuevas entradas (por ejemplo, agregar servidores Slack MCP) sin requerir la verificación.
Este modo Autorun es particularmente peligroso, ya que puede conducir a la autorun de cargas útiles maliciosas inyectadas por los atacantes a través de mensajes de Slack. La secuencia de ataque procede de la siguiente manera:
El usuario agrega el servidor Slack MCP a través del mensaje de publicaciones de atacantes de la interfaz de usuario cursor. Use la víctima de la carga útil de inyección de comando para publicar un mensaje en el canal de rack público.
«La causa central del defecto es que las nuevas entradas en el archivo Global MCP JSON se inician automáticamente», dijo Aim Security. «Incluso si la edición fue rechazada, la ejecución del código ya había sucedido».
Todo el ataque es notable por su simplicidad. Sin embargo, enfatiza cómo las herramientas de asistencia de IA pueden abrir nuevas superficies de ataque cuando se trata de contenido externo, en este caso, los servidores MCP de terceros.
«Los agentes de IA continúan uniendo los mundos externos, internos e interactivos, por lo que el modelo de seguridad debe suponer que los contextos externos pueden afectar el tiempo de ejecución del agente.
La versión 1.3 del cursor también aborda otro problema con el modo Autorun que le permite evitar fácilmente la protección de la plataforma basada en el denilista utilizando métodos para encerrar los comandos de shell en la codificación de base64, los scripts de shell y las cotas (como «e» cho bypass).
Después de la divulgación responsable del equipo de investigación de barra de inactividad, Cursor dio el paso para condenar completamente la funcionalidad de denigilla automática.
«No espere que las soluciones de seguridad incorporadas que ofrecen la plataforma de codificación VIBE sean integrales o indefinidas», dijeron los investigadores Mustafa Naamne y Mika Gold. «La organización del usuario final es responsable de garantizar que el sistema de agentes esté equipado con las barandillas apropiadas».
La divulgación surge a medida que Hiddenlayer ha descubierto que el enfoque ineficiente de Dennilista de Cursor se puede armarse incrustando instrucciones maliciosas ocultas en el archivo GitHub ReadMe.MD, permitiendo a los atacantes ejecutar claves API, credenciales de SSH e incluso comandos del sistema bloqueados.
«Cuando la víctima vio el proyecto en GitHub, no se visibles inyecciones rápidas, y le pidieron a Cursor que clonara el proyecto y ayudara a cursor con la ocurrencia general de los sistemas de agentes basados en IDE», señaló los investigadores Kasimir Schulz, Kenneth Yeung y Tom Bonner.
«Sin embargo, después de clonar el proyecto y revisar ReadMe para ver los pasos para configurar el proyecto, la inyección rápida se hizo cargo del modelo AI y obligó al usuario a encontrar la clave en el espacio de trabajo del usuario antes de eliminar la clave con rizos utilizando la herramienta GREP».
HiddenLayer también descubrió una debilidad adicional que le permite filtrar las indicaciones del sistema para su cursor al anular las solicitudes de API de OpenAI al modelo proxy, y descubrió lo que se llama un ataque de combinación de herramientas al eliminar la tecla SSH privada del usuario aprovechando dos herramientas benignas, read_file y create_diagram.
Esto esencialmente implica insertar un comando de inyección rápida en el archivo GitHub ReadMe.md que el cursor analiza cuando el usuario de la víctima le pide al editor de códigos que resume el archivo y luego ejecute el comando.
La instrucción oculta, en esa parte, lee la tecla SSH privada que pertenece al usuario utilizando la herramienta Read_file y excluye la clave en la URL webhook. Todos los defectos identificados fueron fijados por los cursores en la versión 1.3.
Las noticias de varias vulnerabilidades en los cursores surgen cuando TraceBit ideó un ataque dirigido a la CLI Gemini de Google, una herramienta de línea de comandos de código abierto que se ha modificado a tareas de código.
Como se observó en el caso de los cursores, el ataque requiere que la víctima (1) le diga a la CLI de Géminis que interactúe con la base de código GitHub creada por el atacante que contiene inyección rápida indirecta que es desconfiado en el archivo de contexto Gemini.MD, y (2) para instruir al CLI de Géminis para agregar comandos benignes a aloalista (eg, GRAB).
«La inyección rápida dirigida a estos elementos y problemas críticos de validación y visualización dentro de la CLI de Géminis puede conducir a una ejecución de código arbitraria indetectable», dijo Sam Cox, fundador y CTO de TraceBit.
Para mitigar el riesgo planteado por los ataques, se aconseja a los usuarios de Gemini CLI que actualicen su instalación a la versión 0.1.14, que se envió el 25 de julio de 2025.
Source link
