PT-2025-31883 · Cursor · Cursor
Maccarita
·
Publicado
2025-08-05
·
Atualizado
2025-08-10
·
CVE-2025-54130
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Cursor anteriores à 1.3.9
Descrição
O Cursor, um editor de código desenvolvido para programação com IA, permite a escrita em arquivos do workspace sem aprovação do usuário nas versões afetadas. Especificamente, criar novos dotfiles não requer aprovação, enquanto editar os existentes requer. Isso permite que um atacante encadeie uma vulnerabilidade de injeção de prompt indireta para sequestrar o contexto e escrever em arquivos sensíveis do editor, como o arquivo
.vscode/settings.json, potencialmente desencadeando Execução Remota de Código (RCE) na máquina da vítima sem aprovação do usuário.Recomendações
Atualize para a versão 1.3.9 ou posterior.
Exploit
Correção
RCE
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cursor