Uma vulnerabilidade que os pesquisadores chamam de CurXecute está presente em quase todas as versões do editor de código impulsionado por IA Cursor e pode ser explorada para executar código remoto com privilégios de desenvolvedor.
A questão de segurança agora é identificada como CVE-2025-54135 e pode ser aproveitada alimentando o agente de IA com um prompt malicioso para acionar comandos controlados pelo atacante.
O ambiente de desenvolvimento integrado (IDE) Cursor depende de agentes de IA para ajudar os desenvolvedores a codificar mais rápido e com maior eficiência, permitindo que eles se conectem com recursos e sistemas externos usando o Model Context Protocol (MCP).
Segundo os pesquisadores, um hacker que explorar com sucesso a vulnerabilidade CurXecute poderia abrir a porta para incidentes de ransomware e furto de dados.
CurXecute é semelhante à vulnerabilidade EchoLeak no Microsoft 365 CoPilot, que poderia ser usada para roubar dados sensíveis sem qualquer interação do usuário.
Após descobrir e entender o EchoLeak, os pesquisadores da Aim Security, uma empresa de cibersegurança especializada em IA, aprenderam que até mesmo um agente de IA local poderia ser influenciado por um fator externo para ações maliciosas.
O IDE Cursor tem suporte para o framework de padrão aberto MCP, que amplia as capacidades e o contexto de um agente permitindo que ele se conecte a fontes de dados e ferramentas externas.
No entanto, os pesquisadores alertam que isso pode comprometer o agente, pois ele fica exposto a dados externos não confiáveis que podem afetar seu fluxo de controle.
Um hacker poderia aproveitar isso para sequestrar a sessão e os privilégios dos agentes para agir em nome do usuário.
Usando injeção de prompt hospedada externamente, um atacante poderia reescrever o arquivo ~/.cursor/mcp.json no diretório do projeto para habilitar a execução remota de comandos arbitrários.
Os pesquisadores explicam que o Cursor não requer confirmação para executar novas entradas no arquivo ~/.cursor/mcp.json e que as edições sugeridas são ativadas e acionam a execução do comando mesmo que o usuário as rejeite.
Em um relatório compartilhado com o site BleepingComputer, a Aim Security diz que adicionar ao Cursor um servidor MCP padrão, como o Slack, poderia expor o agente a dados não confiáveis.
Um atacante poderia postar em um canal público um prompt malicioso com um payload de injeção para o arquivo de configuração mcp.json.
Quando a vítima abre o novo chat e instrui o agente a resumir as mensagens, o payload, que poderia ser um shell, é imediatamente enviado para o disco sem a aprovação do usuário.
Os pesquisadores da Aim Security dizem que um ataque CurXecute pode levar a incidentes de ransomware e furto de dados, ou até mesmo manipulação de IA através de alucinação que pode arruinar o projeto, ou habilitar ataques de slopsquatting.
Os pesquisadores relataram CurXecute privadamente ao Cursor em 7 de julho e no dia seguinte o fornecedor mesclou um patch na branch principal.
Em 29 de julho, a versão 1.3 do Cursor foi lançada com várias melhorias e uma correção para CurXecute.
O Cursor também publicou um aviso de segurança para o CVE-2025-54135, que recebeu uma pontuação de gravidade média de 8.6.
Recomenda-se que os usuários baixem e instalem a versão mais recente do Cursor para evitar riscos de segurança conhecidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...