Una vulnerabilidad crítica en el IDE cursor, el entorno de desarrollo de rápido crecimiento de IA, permite la ejecución del código remoto persistente a través de la manipulación del sistema del Protocolo de contexto del modelo (MCP).
La vulnerabilidad, rastreada como CVE-2025-54136 y denominada “McPoison”, explota una falla de validación de confianza que permite a los atacantes ejecutar comandos arbitrarios en máquinas de desarrolladores sin desencadenar advertencias de seguridad.
Cursor IDE se ha convertido en una de las plataformas de desarrollo asistidas por AI-AI más populares, que combina la edición de código tradicional con integraciones de modelos de idiomas grandes (LLM).
El atractivo de la plataforma se encuentra en sus sofisticadas capacidades de automatización, particularmente a través de configuraciones de MCP que permiten la ejecución perfecta de flujos de trabajo de desarrollo que involucran API remotas, comandos generados por LLM y operaciones del sistema local.
La vulnerabilidad proviene de un defecto fundamental en el modelo de validación de confianza de Cursor para la ejecución de MCP.
Los investigadores descubrieron que si bien el cursor requiere la aprobación inicial del usuario para las configuraciones de MCP, cualquier modificación posterior a las configuraciones aprobadas se confía automáticamente sin validación adicional o consentimiento del usuario.
Esto crea un vector de ataque peligroso donde se puede explotar una sola aprobación para la ejecución persistente del código silencioso.
McPoison Attack Bypass
El ataque McPoison sigue un patrón engañosamente simple pero altamente efectivo. Los atacantes primero cometen un archivo de configuración de MCP benigno (.Cursor/Rules/MCP.JSON) a un repositorio compartido que contiene comandos inofensivos como las utilidades básicas del sistema.
Cuando los desarrolladores abren el proyecto en el cursor, encuentran un mensaje de aprobación estándar y, al ver el comando inocuo, aprueban la configuración de MCP.
La vulnerabilidad crítica surge después de esta aprobación inicial. El cursor vincula la confianza exclusivamente al nombre de la clave MCP en lugar de verificar el comando o argumentos subyacentes.
Esto significa que los atacantes pueden modificar más tarde la misma entrada de MCP para ejecutar comandos del sistema arbitrarios, incluidos los shells inverso, las herramientas de exfiltración de datos o las puertas traseras persistentes. Estas modificaciones se ejecutan en silencio cada vez que el desarrollador vuelve a abrir el cursor, creando un vector de ataque persistente.
Los investigadores de Check Point demostraron la gravedad de la vulnerabilidad al implementar una carga útil inversa que se activa automáticamente cada vez que la víctima lanza el IDE.
La carga útil sigue siendo persistente en las sincronizaciones de repositorio y las reaperturas del proyecto, convirtiendo efectivamente el entorno de desarrollo confiable en una plataforma de ataque automatizada.
El sistema MCP de Cursor almacena configuraciones específicas del proyecto en archivos .cursor/rules/mcp.json, con cada entrada definiendo un nombre, comando y argumentos opcionales de MCP. La plataforma escanea automáticamente el directorio .cursor/ directorio tras el lanzamiento del proyecto y procesa cualquier configuración relacionada con MCP descubierta.
El mecanismo de confianza opera a través de un modelo de aprobación único donde se les solicita a los usuarios que autoricen las configuraciones de MCP en el primer encuentro.
Sin embargo, el sistema no implementa la detección de cambios para las configuraciones aprobadas, lo que permite a los atacantes sustituir los comandos maliciosos mientras preservan el nombre original de MCP que recibió la aprobación.
Este defecto arquitectónico permite ataques sofisticados de la cadena de suministro en entornos de desarrollo colaborativo. Un actor malicioso con acceso al repositorio de escritura puede establecer un punto de apoyo a través de una configuración de MCP inicialmente inofensiva, luego aumentar los privilegios a través de la sustitución de comandos silenciosos sin requerir una interacción adicional del usuario.
Investigación del punto de control de manera responsable revelado La vulnerabilidad al equipo de desarrollo de Cursor el 16 de julio de 2025. La compañía respondido Purtly, emitiendo la versión 1.3 el 29 de julio de 2025, que aborda la vulnerabilidad central mediante la implementación de indicaciones de aprobación obligatoria para cualquier modificación a las configuraciones de MCP.
La solución garantiza que incluso los cambios menores, como agregar un solo carácter espacial, activen nuevos requisitos de autorización.
Si bien las notas de lanzamiento de Cursor no mencionaron explícitamente el parche de seguridad, las pruebas independientes de los investigadores de Check Point confirmaron la remediación de la vulnerabilidad
Los usuarios ahora deben aprobar o rechazar explícitamente cualquier configuración MCP modificada antes de la ejecución, cerrando el bypass de confianza que habilitó el ataque MCPoison.
La divulgación representa la primera en una serie planificada de evaluaciones de vulnerabilidad dirigidas a plataformas de desarrollo de IA. A medida que las herramientas de codificación asistida por AI-AI se integran cada vez más en los flujos de trabajo de desarrollo de software, los investigadores de seguridad están identificando nuevos vectores de ataque que explotan la intersección de la inteligencia artificial, la automatización y los límites de seguridad de software tradicionales.
Los expertos en seguridad señalan que el ataque McPoison demuestra cómo la dependencia de los sistemas de IA en la automatización y los flujos de trabajo basados en la confianza se pueden armarse contra los usuarios que están diseñados para ayudar.
Las organizaciones que usan Cursor IDE deben actualizarse inmediatamente a la versión 1.3 o posterior para proteger contra la explotación de McPoison.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
