محققان امنیت سایبری آسیبپذیری وصلهشده با شناسه CVE-2025-54135 (امتیاز : ۸.۶) در Cursor، ویرایشگر کد مبتنی هوش مصنوعی (AI) را افشا کردهاند که میتواند منجر به اجرای کد از راه دور (RCE) شود.
این آسیبپذیری در نسخه ۱.۳ منتشر شده در ۲۹ جولای ۲۰۲۵ برطرف شده است. AimLabs که قبلاً EchoLeak را افشا کرده بود، این آسیبپذیری را CurXecute نامگذاری کرده است. تیم Aim Labs در گزارشی گفت: «Cursor با سطح دسترسی توسعهدهنده اجرا میشود و هنگامی که با یک سرور Model Control Protocol (MCP) که دادههای خارجی غیرقابل اعتماد را دریافت میکند، جفت میشود، آن دادهها میتوانند جریان کنترل agent را تغییر مسیر داده و از آن سطح دسترسی سوءاستفاده کنند.» با ارسال اعلان مخرب به agent هوش مصنوعی از طریق MCP، مهاجم میتواند اجرای کامل کد از راه دور را تحت دسترسیهای کاربر به دست آورد و به هر تعداد کار از جمله فرصتهای باجافزار، سرقت دادهها، دستکاری هوش مصنوعی و hallucination (خروجیهای نادرست) و … دست یابد.
به عبارت دیگر، اجرای کد از راه دور میتواند توسط تزریق بلادرنگ (prompt-injection) خارجی که به طور خاموش فایل “cursor/mcp.json./~” را بازنویسی میکند و دستورات کنترل شده توسط مهاجم را اجرا میکند، آغاز شود. CurXecute مشابه آسیبپذیری EchoLeak در Microsoft 365 CoPilot است که میتواند برای سرقت دادههای حساس بدون هیچ گونه تعامل با کاربر استفاده شود. به طور خاص، Aim Security دریافت که فایل mcp.json که برای پیکربندی سرورهای MCP سفارشی در Cursor استفاده میشود، میتواند اجرای هر ورودی جدید (مثلاً افزودن سرور Slack MCP) را بدون نیاز به هیچ تأییدی آغاز کند. دریافتند که حتی agent هوش مصنوعی محلی نیز میتواند تحت تأثیر یک عامل خارجی برای اقدامات مخرب قرار گیرد. محققان هشدار میدهند که این امر میتواند agent را به خطر بیندازد زیرا در معرض دادههای خارجی و غیرقابل اعتمادی قرار میگیرد که میتوانند بر جریان کنترل آن تأثیر بگذارند.
https://www.bleepingcomputer.com/news/security/ai-powered-cursor-ide-vulnerable-to-prompt-injection-attacks
https://thehackernews.com/2025/08/cursor-ai-code-editor-fixed-flaw.html
