En alvorlig sårbarhed kaldet CurXecute er blevet opdaget i det AI-baserede udviklingsværktøj Cursor IDE. Fejlen påvirker alle versioner før 1.3 og gør det muligt at udføre prompt-injektionsangreb, der kan føre til fuld fjernkodekørsel. Angribere kan køre kommandoer med udviklerrettigheder.
Forskere rapporterede sårbarheden den 7. juli 2025, og Cursor udgav en patch i version 1.3 den 29. juli. Fejlen skyldes IDE’ens automatiske håndtering af eksternt indhold via MCP-serveren, som henter og udfører data uden brugerens godkendelse.
Sådan fungerer CurXecute
Cursor bruger en konfigurationsfil placeret i ~/.cursor/mcp.json.
Ondsindede prompts kan indsættes i filen og indeholde skadelige kommandoer.
Systemet kører dem automatisk – også selvom brugeren vælger “Annuller”.
Disse kommandoer kan åbne lokale shells og kompromittere hele enheden.
Sårbarheden skaber en alvorlig angrebsflade for trusselsaktører, der forsøger at overtage udviklingsmiljøer. Værst af alt – det kræver ikke et klik.
Derfor er det særligt farligt
Cursor kører som regel med udviklerrettigheder. Det giver angribere fuld adgang til at køre scripts, installere malware eller stjæle loginoplysninger. Mulige konsekvenser:
- Dataeksfiltration
- Tyveri af legitimationsoplysninger
- Udrulning af ransomware
- Kompromittering af hele systemet
Afhjælpning og anbefalinger
Brugere bør opdatere til version 1.3 med det samme. Denne version deaktiverer den sårbare autokørsel og blokerer eksterne kommandoer via MCP.
Udviklere bør undgå at forbinde Cursor med offentlige Slack-kanaler, issue trackers eller tredjepartskilder uden verificeret tillid.
Større konsekvenser
Denne sag fremhæver de stigende risici ved AI-baserede udviklingsværktøjer. Når værktøjer ukritisk kører eksternt indhold, bliver de indgangspunkter for angreb. Sikkerhedsteams bør behandle AI-input som potentielle trusler – ikke som betroede assistenter.
Konklusion
CurXecute-sårbarheden viser, hvordan en enkelt injiceret prompt kan overtage et helt udviklingsmiljø. Udviklere bør opdatere til Cursor version 1.3 og undgå integration med usikre datakilder. Bevidsthed om AI-sårbarheder kan være nøglen til at forebygge fremtidige angreb.
0 svar til “Prompt-injektionssårbarhed i Cursor muliggør fuld RCE i AI‑IDE”