En kritisk sårbarhet kalt CurXecute er oppdaget i det AI-baserte utviklingsverktøyet Cursor IDE. Feilen påvirker alle versjoner før 1.3 og åpner for prompt-injeksjonsangrep som kan føre til fullstendig fjernkjøring av kode. Angripere kan utføre kommandoer med utviklertilganger.
Forskere rapporterte sårbarheten 7. juli 2025, og Cursor lanserte en patch i versjon 1.3 den 29. juli. Feilen oppstår i IDE-ens håndtering av eksternt innhold via MCP-serveren, som automatisk henter og kjører data.
Slik fungerer CurXecute
Cursor bruker en konfigurasjonsfil på banen ~/.cursor/mcp.json.
Ondsinnede prompts kan injiseres i filen og inneholde farlige kommandoer.
Systemet kjører dem automatisk – selv om brukeren trykker “Avbryt”.
Kommandoene kan åpne lokale skall og kompromittere hele systemet.
Sårbarheten skaper en farlig angrepsflate for trusselaktører som vil overta utviklingsmiljøer. Det krever ingen godkjenning fra utvikleren.
Hvorfor det er så risikabelt
Cursor kjøres ofte med utviklertilganger. Det gir angripere full kontroll til å kjøre skript, installere skadevare eller stjele legitimasjon. Mulige konsekvenser inkluderer:
- Dataeksfiltrasjon
- Tyveri av innloggingsinformasjon
- Utrulling av løsepengevirus
- Full systemkompromittering
Tiltak og respons
Alle brukere bør oppdatere til versjon 1.3 umiddelbart. Denne versjonen deaktiverer automatisk kjøring og blokkerer eksterne kommandoer via MCP.
Utviklere bør også unngå å koble Cursor til offentlige Slack-kanaler, issue trackers eller innholdskilder de ikke stoler på.
Større konsekvenser
Dette viser risikoen ved AI-baserte utviklingsverktøy. Når slike verktøy automatisk kjører ekstern data, blir de attraktive mål. Sikkerhetsteam må behandle AI-inndata som potensielle trusler, ikke pålitelige hjelpere.
Konklusjon
CurXecute-feilen viser hvordan én enkelt injisert prompt kan kapre et helt utviklingsmiljø. Utviklere bør oppdatere til Cursor 1.3 og unngå utrygge integrasjoner. Økt bevissthet rundt AI-sårbarheter kan hindre fremtidige angrep.
0 responses to “Sårbarhet i Cursor muliggjør full RCE via prompt-injeksjon i AI‑IDE”