Prompt-Injection-Schwachstelle in Cursor ermöglicht vollständige RCE in KI‑IDE

Eine schwerwiegende Sicherheitslücke namens CurXecute wurde in der KI-basierten Entwicklungsumgebung Cursor IDE entdeckt. Die Schwachstelle betrifft alle Versionen vor 1.3 und erlaubt Prompt-Injection-Angriffe, die zur vollständigen Remote-Code-Ausführung führen können. Angreifer können dabei Befehle mit Entwicklerrechten ausführen.

Sicherheitsforscher meldeten die Schwachstelle am 7. Juli 2025, und Cursor veröffentlichte ein Patch mit Version 1.3 am 29. Juli. Der Fehler liegt in der automatischen Verarbeitung externer Inhalte durch den MCP-Server der IDE, der Daten abruft und ausführt – ohne Benutzerinteraktion.

So funktioniert CurXecute

Die IDE nutzt eine Konfigurationsdatei unter ~/.cursor/mcp.json.

Bösartige Eingaben (Prompts) können in diese Datei eingeschleust werden und schädliche Befehle enthalten.

Das System führt die Befehle automatisch aus – selbst wenn der Benutzer „Abbrechen“ auswählt.

Diese Befehle können lokale Shells öffnen und das Gerät vollständig kompromittieren.

Die Schwachstelle bietet eine gefährliche Angriffsfläche für Bedrohungsakteure, die Entwicklungsumgebungen übernehmen wollen – ganz ohne Benutzerinteraktion.

Warum das so gefährlich ist

Cursor läuft meist mit Entwicklerrechten. Das gibt Angreifern volle Kontrolle zum Ausführen von Skripten, zur Installation von Malware oder zum Diebstahl von Anmeldedaten. Mögliche Folgen:

• Datenabfluss
• Diebstahl von Zugangsdaten
• Einsatz von Ransomware
• Kompromittierung des gesamten Systems

Gegenmaßnahmen und Empfehlungen

Nutzer sollten sofort auf Version 1.3 aktualisieren. Diese Version deaktiviert die automatische Ausführung und blockiert Remote-Befehle über MCP.

Zusätzlich sollten Entwickler Cursor nicht mit öffentlichen Slack-Kanälen, Issue-Trackern oder Drittquellen verbinden, denen sie nicht vertrauen.

Größere Bedeutung

Dieser Vorfall zeigt die wachsenden Risiken durch KI-gestützte Entwicklerwerkzeuge. Wenn solche Tools externe Daten blind ausführen, werden sie zu Einfallstoren für Angreifer. Sicherheitsteams sollten KI-Eingaben als potenzielle Angriffsflächen behandeln – nicht als vertrauenswürdige Assistenten.

Fazit

Die CurXecute-Schwachstelle zeigt, wie ein einziger manipulierter Prompt eine komplette Entwicklungsumgebung übernehmen kann. Entwickler sollten Cursor auf Version 1.3 aktualisieren und Integrationen mit nicht vertrauenswürdigen Quellen vermeiden. Ein besseres Verständnis für KI-spezifische Schwachstellen kann helfen, Angriffe frühzeitig zu verhindern.