Se ha descubierto una vulnerabilidad de ejecución de código remoto en el editor de código AI cursor, lo que permite que un repositorio de código malicioso ejecute código en la máquina de un usuario al abrir automáticamente.
El equipo de investigación de OASIS Security descubrió la falla, que evita las indicaciones típicas de consentimiento del usuario al explotar una configuración predeterminada en el editor popular.
Según Oasis Security, el núcleo de la vulnerabilidad radica en el envío del cursor con su función “Trust de espacio de trabajo” deshabilitada de forma predeterminada. Esta configuración de seguridad, presente en el código VS, está diseñada para evitar que el código no confiable se ejecute automáticamente.
Con esta característica apagada, un atacante puede elaborar un repositorio de código malicioso que contenga un archivo .vscode/tasks.json especialmente configurado. Al establecer el parámetro RunOptions.runon en “carpeta”, cualquier comando dentro de este archivo de tareas ejecutará el momento en que un desarrollador abre la carpeta del proyecto en el cursor.
Cursor AI Code Editor RCE Vulnerabilidad
Esto transforma una acción aparentemente inofensiva en la ejecución del código silencioso dentro del contexto de seguridad del usuario, sin ninguna advertencia o indicación de confianza. Un atacante puede aprovechar esto para robar información confidencial, modificar archivos locales o establecer una conexión a un servidor de comando y control.
Esta vulnerabilidad plantea un riesgo significativo porque las máquinas de desarrolladores a menudo son tesoros de credenciales de alto privilegio. Comprometer la computadora portátil de un desarrollador puede dar a un atacante acceso inmediato a claves de API de la nube, tokens de acceso personal (PAT) y sesiones activas de SaaS.
El peligro se extiende más allá de la máquina individual; Con un punto de apoyo inicial, un atacante puede pivotar a las tuberías de CI/CD conectadas e infraestructura en la nube.
Este movimiento lateral es especialmente preocupante, ya que puede conducir al compromiso de las identidades no humanas, como las cuentas de servicio, que a menudo poseen permisos amplios y poderosos en el entorno de una organización. Un solo repositorio atrapado en el tope podría iniciar un incidente de seguridad generalizado.
Los usuarios del cursor que ejecutan la configuración predeterminada se ven directamente afectados por esta vulnerabilidad. Por el contrario, los usuarios estándar de Código de Visual Studio con el espacio de trabajo de WorkSpace habilitados tienen un riesgo más bajo, ya que la función bloquea la ejecución de tareas automáticas hasta que el usuario otorga explícitamente confianza a la carpeta del proyecto.
En respuesta a la divulgación, Cursor ha declarado que los usuarios pueden habilitar manualmente la confianza del espacio de trabajo y que la guía de seguridad actualizada se publicará pronto.
La seguridad de Oasis tiene proporcionó Recomendaciones de endurecimiento inmediato para equipos de desarrollo. Los usuarios deben habilitar la confianza del espacio de trabajo en el cursor, requieren el mensaje de inicio y considerar configurar la tarea.
También se recomienda abrir todos los repositorios desconocidos en un entorno seguro y aislado, como un contenedor desechable o una máquina virtual, para evitar la ejecución potencial.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
