PT-2024-33268 · Cursor · Cursor
Yuvalo1212
·
Publicado
2024-10-22
·
Atualizado
2024-10-23
·
CVE-2024-48919
CVSS v4.0
9.2
Crítica
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Cursor anteriores à 0.42
Descrição
A vulnerabilidade permite que um invasor com controle sobre uma página da web maliciosa influencie um modelo de linguagem a gerar comandos arbitrários para execução no terminal do usuário. Esse cenário requer que o usuário opte explicitamente por incluir o conteúdo de uma página da web comprometida e que o invasor exiba texto de injeção de prompt no conteúdo da página da web comprometida. Um patch do lado do servidor foi lançado em 27 de setembro de 2024 para impedir o envio de caracteres de nova linha ou de controle.
Recomendações
Para versões anteriores à 0.42, nenhuma ação adicional é necessária, pois o patch já foi aplicado no lado do servidor.
Para todas as versões, recomenda-se definir a configuração
“cursor.terminal.usePreviewBox” como true para transmitir respostas para uma caixa de pré-visualização, o que requer aceitação manual antes de serem inseridas no terminal.Como prática recomendada, inclua apenas partes confiáveis do contexto nos prompts.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cursor