En allvarlig sårbarhet kallad CurXecute har upptäckts i den AI-baserade utvecklingsmiljön Cursor IDE. Sårbarheten påverkar alla versioner före 1.3 och möjliggör promptinjektionsattacker som kan leda till fullständig fjärrkörning av kod. Angripare kan köra kommandon som om de vore utvecklaren själv.
Forskare rapporterade sårbarheten den 7 juli 2025, och Cursor släppte en patch i version 1.3 den 29 juli. Buggen uppstår genom IDE:ns automatiska hantering av externt innehåll via MCP-servern, som hämtar och kör information utan bekräftelse.
Så fungerar CurXecute
IDE:n använder en konfigurationsfil vid sökvägen ~/.cursor/mcp.json.
Ondsinta prompts kan injiceras i den filen och innehålla skadliga kommandon.
Systemet kör kommandona automatiskt – även om användaren väljer “Avbryt”.
De kan öppna lokala shell och äventyra hela systemet.
Denna sårbarhet skapar en farlig angreppsyta för hotaktörer som vill ta kontroll över utvecklingsmiljöer. Det krävs inte ens att utvecklaren klickar eller godkänner något.
Därför är det extra farligt
Cursor körs vanligtvis med utvecklarbehörigheter. Det ger angripare full åtkomst att köra skript, installera skadeprogram eller stjäla inloggningsuppgifter. Möjliga konsekvenser:
- Dataexfiltration
- Inloggningsuppgifter stjäls
- Ransomware distribueras
- Systemet tas över
Åtgärder och rekommendationer
Användare bör omedelbart uppdatera till version 1.3. Denna version stänger av den sårbara autokörningsfunktionen och blockerar fjärrkommandon via MCP.
För ökad säkerhet bör utvecklare även undvika att ansluta Cursor till offentliga Slack-kanaler, issue trackers eller tredjepartsinnehåll de inte litar på.
Större konsekvenser
Fallet visar på ökade risker med AI-drivna utvecklingsverktyg. När sådana verktyg blint kör externt innehåll, blir de öppna dörrar för angripare. Säkerhetsteam måste behandla AI-input som potentiella angreppsvägar – inte som pålitliga assistenter.
Slutsats
Sårbarheten CurXecute visar hur ett enda injicerat kommando kan kapa en hel utvecklingsmiljö. Utvecklare bör uppdatera till version 1.3 av Cursor och undvika osäkra integrationer. Medvetenhet om AI-specifika sårbarheter är avgörande för att förhindra framtida attacker.
0 svar till ”Sårbarhet i Cursor gör fullständig RCE möjlig via promptinjektion i AI‑IDE”