Una vulnerabilidad severa en el popular IDE del editor de código con motor AI, denominado “Curxecute”, permite a los atacantes ejecutar código arbitrario en las máquinas de los desarrolladores sin ninguna interacción del usuario.
La vulnerabilidad, rastreada como CVE-2025-54135 con un puntaje de alta gravedad de 8.6, afecta todas las versiones de cursor IDE antes de 1.3 y se ha parcheado con éxito después de la divulgación responsable.
Control de llave
1. “Curxecute” en Cursor IDE permite la ejecución de código remoto sin interacción del usuario.
2. Instalaciones maliciosas a través de servicios externos Explotación de MCP Auto-Start para ejecutar comandos arbitrarios.
3. Actualice inmediatamente y revise MCP.
La flaw explota la funcionalidad del protocolo del contexto del modelo de cursor (MCP), que ejecuta automáticamente nuevas entradas agregadas al archivo de configuración ~/.cursor/mcp.json.
Este mecanismo, combinado con la función de ediciones sugeridas del IDE, crea un vector de ataque peligroso donde las indicaciones maliciosas pueden desencadenar la ejecución del código remoto antes de que los usuarios tengan alguna oportunidad de revisar o aprobar los cambios.
Vulnerabilidad del cursor IDE del editor de código con IA
La vulnerabilidad opera a través de un ataque de inyección rápido sofisticado que aprovecha la integración del cursor con servidores MCP externos.
Cuando los desarrolladores conectan el cursor a servicios de terceros como Slack, GitHub o bases de datos a través de MCP, el IDE se expone a datos externos no confiables que pueden manipular el flujo de control del agente.
La secuencia de ataque comienza cuando un atacante publica un mensaje diseñado en un canal público accesible a través de un servidor MCP. Cuando una víctima consulta el cursor para resumir los mensajes utilizando el servicio conectado, la carga útil maliciosa convence al agente de IA para que modifique el archivo mcp.json.
Una inyección típica puede incluir código como:
La falla crítica radica en el comportamiento del cursor de escribir ediciones sugeridas directamente al disco, lo que desencadena la ejecución de comandos automáticos a través de la función de auto-inicio de MCP incluso antes de que los usuarios puedan aceptar o rechazar la sugerencia.
Esto permite a los atacantes ejecutar comandos como Touch ~/MCP_RCE con privilegios a nivel de desarrollador, lo que puede conducir a robo de datos, implementación de ransomware o un compromiso completo del sistema.
Factores de riesgo Los productos afectados por el riesgo IDE (todas las versiones anteriores a 1.3) ImpacTremote Code Ejecution (RCE) Explote Prerrequisitos – Sistema objetivo que ejecuta Vulnerable Cursor IDE Versión
– Server MCP configurado con acceso a datos externos
– Capacidad del atacante para inyectar contenido malicioso en una fuente de datos externa
– Interacción del usuario con AI Agent para procesar DatacVSS 3.1 Score8.6 (alto)
Arreglo disponible
Esta vulnerabilidad destaca un desafío de seguridad fundamental inherente a las herramientas de desarrollo con IA que unen los entornos informáticos externos y locales.
Como AIM Labs señaló en su análisis, cualquier servidor MCP de terceros procesa el contenido externo se convierte en una posible superficie de ataque, incluidos rastreadores de problemas, sistemas de atención al cliente y motores de búsqueda.
Cursor ha respondido de inmediato a la divulgación, liberando la versión 1.3 con las correcciones apropiadas.
Se recomienda encarecidamente a los desarrolladores que actualicen de inmediato y revisen sus configuraciones de servidor MCP para minimizar la exposición a fuentes de datos externas no confiables.
El descubrimiento se basa en investigaciones anteriores de investigadores, incluida su divulgación de junio de “Echoleak”, que demostró vulnerabilidades de inyección rápida similares en Copilot de Microsoft 365.
Estos incidentes subrayan la creciente necesidad de barandillas de tiempo de ejecución robustas en las arquitecturas de agentes de IA, ya que los modelos de seguridad tradicionales pueden resultar insuficientes cuando el contexto externo puede influir directamente en el comportamiento de los agentes y el uso de privilegios.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
