Cursor IDE远程代码执行漏洞CVE-2025-54135

Cursor IDE是一款基于人工智能的集成开发环境（IDE），该产品深度融合了GPT-4、Claude等AI模型，旨在通过智能辅助提升编程效率。

一、基本情况

Cursor IDE 由Anysphere公司开发，在继承VS Code优势的基础上通过深度融合AI技术优化开发流程，而VS Code主要依赖插件扩展功能。

栋科技漏洞库关注到Cursor IDE中存在一个高危远程代码执行漏洞，该漏洞现已被追踪为CVE-2025-54135，漏洞的CVSS评分高达8.6分。

二、漏洞分析

CVE-2025-54135漏洞是Cursor IDE中存在高危远程代码执行漏洞（CVE-2025-54135，代号“CurXecute”），漏洞影响几乎所有历史版本。

该漏洞允许攻击者通过注入恶意提示绕过用户授权，在宿主机上执行任意命令，影响Cursor IDE所有版本低于1.3.0（1.2.1及更早版本）。

若与单独的提示注入漏洞链接，可能允许代理在主机上写入敏感的MCP文件。然后通过将其添加为新的MCP服务器，可以直接执行代码。

Cursor 1.3.9以下版本中，允许在没有用户批准情况下在工作区文件中写入，若文件为点文件，则编辑它需要批准，但创建新文件不需要。

因此若工作区中不存在敏感的MCP文件，如.coursor/MCP.json文件，攻击者可链接一个间接提示注入漏洞，劫持上下文以写入设置文件。

具体而言，攻击者可通过Model Context Protocol（MCP）协议连接的外部资源（如Slack、GitHub等）植入恶意提示，

当用户使用Cursor IDE处理这些外部内容时，恶意指令会被自动注入到项目目录下的~/.cursor/mcp.json配置文件中；

由于Cursor对MCP配置文件的新增条目采用“自动运行”模式且无需用户确认，攻击者注入的恶意指令可直接触发远程代码执行，

例如通过Slack消息诱导用户让AI总结内容，进而在用户机器上执行恶意载荷（如植入勒索软件、窃取敏感数据或创建隐藏管理员账户）；

这意味着任何处理外部内容的MCP服务器均可能成为攻击入口，包括问题跟踪器、客服收件箱甚至搜索引擎，形成广泛且隐蔽的威胁面。

三、影响范围

Cursor IDE <= 1.3.0（如1.2.1及更早版本）

四、修复建议

Cursor IDE >= 1.3.9

五、参考链接

管理员已设置登录后刷新可查看