As versões mais recentes dos ambientes de desenvolvimento integrados (IDEs) Cursor e Windsurf apresentam vulnerabilidades em mais de 94 falhas de segurança já identificadas e corrigidas no navegador Chromium e no motor JavaScript V8.
Esses dois IDEs são usados por cerca de 1,8 milhão de desenvolvedores, que ficam expostos aos riscos decorrentes dessas vulnerabilidades.
Pesquisadores da Ox Security explicam que tanto o Cursor quanto o Windsurf são construídos com softwares desatualizados, incluindo versões antigas do Chromium e do motor V8 do Google.
Eles destacam que ambas as ferramentas se baseiam em versões antigas do Visual Studio Code, que, por sua vez, utilizam lançamentos defasados do framework Electron — responsável por criar apps multiplataforma com tecnologias web como HTML, CSS e JavaScript.
“Como o Electron incorpora o Chromium e o V8, isso significa que os IDEs dependem de versões antigas desses motores, ficando suscetíveis a vulnerabilidades que já foram corrigidas em versões mais recentes”, afirmam os pesquisadores em um relatório compartilhado com o BleepingComputer.
A Ox Security identificou pelo menos 94 falhas presentes nas versões do Chromium usadas nesses IDEs.
Mesmo com a divulgação responsável dessas vulnerabilidades desde 12 de outubro, os riscos persistem, pois o Cursor considerou o relatório “fora do escopo” e o Windsurf não respondeu às comunicações.
Cursor e Windsurf são editores de código impulsionados por inteligência artificial, derivados do Visual Studio Code.
Eles incorporam modelos avançados de linguagem (LLMs) para auxiliar desenvolvedores a escrever código de forma mais rápida e eficiente.
Distribuídos como aplicações Electron, esses IDEs utilizam um runtime específico que integra uma versão determinada do Chromium para renderizar conteúdo web e o motor V8 para execução de JavaScript, ambos embutidos no binário da aplicação.
Cada versão do Electron fixa uma versão específica do Chromium e do V8, e, se o desenvolvedor não atualizar esse runtime, as falhas corrigidas em atualizações posteriores passam a ser vulnerabilidades exploráveis nesse ambiente.
A Ox Security demonstrou a exploração da vulnerabilidade de integer overflow no mecanismo Maglev JIT (
CVE-2025-7656
) por meio de um deeplink que executa o Cursor e injeta um comando para o navegador visitar uma URL remota com payload malicioso.
Essa página remota entrega um script JavaScript que ativa o exploit, causando negação de serviço (DoS) ao travar o processo de renderização do IDE.
Nir Zadok e Moshe Siman Tov Bustan, da Ox Security, apresentaram essa prova de conceito ao explorar a vulnerabilidade no Cursor IDE.
A falha, corrigida em 15 de julho na engine V8 do Google Chrome, provoca a queda do aplicativo, conforme demonstrado em vídeo.
Além disso, a Ox Security alerta que ataques que levam à execução arbitrária de código malicioso também são possíveis em cenários reais.
Os pesquisadores apontam diversas formas para que um invasor explore a falha, como uso de extensões maliciosas, injeção de código em documentação ou tutoriais, ataques de phishing tradicionais ou mesmo repositórios contaminados com código malicioso em arquivos README exibidos no IDE.
Vale destacar que o exploit não funciona na versão mais recente do Visual Studio Code, que é constantemente atualizada e corrige todas as vulnerabilidades conhecidas.
Após receberem a prova de conceito, os responsáveis pelo Cursor subestimaram o problema, alegando que um DoS autorreproduzido está “fora do escopo”.
Contudo, os pesquisadores ressaltam que essa posição ignora o potencial mais grave da exploração, que inclui corrupção de memória e o vasto conjunto de vulnerabilidades não corrigidas em ambos os aplicativos Electron utilizados.
“Desde a última atualização do Chromium feita em 21 de março de 2025, para a versão 0.47.9 — baseada no Chromium 132.0.6834.210 —, pelo menos 94 CVEs foram divulgadas. Nós exploramos apenas uma. A superfície de ataque é enorme”, explica a Ox Security.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...