AI 代码编辑器 Cursor 中存在漏洞,允许远程攻击者利用间接提示注入问题来修改敏感的 MCP 文件并执行任意代码。
该漏洞编号为 CVE-2025-54135(CVSS 评分为 8.6),存在的原因在于 Cursor 在创建敏感的 MCP 文件时无需用户批准。
该安全缺陷允许攻击者通过间接提示注入写入点文件(例如 .cursor/mcp.json 文件),然后在未经用户批准的情况下触发远程代码执行 (RCE)。
Cursor 的公告中写道: “如果与单独的提示注入漏洞相结合,这可能允许代理在主机上写入敏感的 MCP 文件。然后,可以通过将其添加为新的 MCP 服务器来直接执行代码。”
据发现该漏洞并将其命名为CurXecute 的Aim Labs 称,问题在于,在用户接受或拒绝之前,建议的 mcp.json 编辑会立即到达磁盘,并且 Cursor 会执行它们。
因此,攻击者可以添加一个标准的 MCP 服务器,将代理暴露给不受信任的数据,然后提供一个提示,指示代理改进 mcp.json,导致 Cursor 在修改后的文件中启动 MCP 服务器,从而导致 RCE。
Aim Labs 强调:“这种情况发生在用户有机会批准或拒绝建议之前,这为攻击者提供了任意命令执行的机会。”
Aim Labs 表示,任何处理外部内容的第三方 MCP 服务器都容易受到攻击,包括客户支持工具、问题跟踪器和搜索引擎。
Cursor 1.3 版已修复此漏洞,但这并非近期解决的 AI 代理中唯一一个代码执行漏洞。另一个漏洞编号为 CVE-2025-54136(CVSS 评分为 7.2),可能允许攻击者将无害的 MCP 配置文件与恶意命令交换,而不会触发警告。
Cursor指出: “如果攻击者对包含用户先前批准的现有 MCP 服务器的源存储库的用户活动分支具有写入权限,或者攻击者在本地具有任意文件写入权限,则攻击者可以实现任意代码执行。”
BackSlash 和 HiddenLayer 发现了另一种针对 Cursor 的间接提示注入攻击。该攻击与 Cursor 的自动运行模式有关,在这种模式下,命令会自动执行,无需请求权限。该攻击已在 Cursor 1.3 版本中得到解决。
用户可以定义 AI 代理必须请求用户权限才能运行的命令列表,但可以通过在 git 存储库的 Readme 中的注释块中包含提示注入来绕过此保护。
HiddenLayer表示, 当受害者克隆存储库时,Cursor 会读取指令并遵循这些指令,这使得攻击者能够从系统中窃取敏感信息,链接合法工具来收集和窃取文件,或执行其他恶意操作,而无需警告受害者。
BackSlash指出: “我们发现受感染代理绕过 Cursor 拒绝列表并执行未经授权的命令的方法不少于四种。”
新手炒股配资平台提示:文章来自网络,不代表本站观点。
