Cursor 是一款声称能“理解你的代码库并帮助你更快编写代码”的 AI 驱动代码编辑器,近日针对两处严重漏洞发布了修复补丁。这些漏洞可导致远程代码执行(RCE),且无需用户交互。漏洞编号为 CVE-2025-54135 和 CVE-2025-54136,均涉及 MCP(多上下文提示)配置文件——这一机制用于控制 AI 助手在工作区的行为。
CVE-2025-54135(CVSS 8.6):提示注入链触发远程代码执行
第一个漏洞源于 Cursor Agent 处理提示生成文件写入的方式。如果类似 .cursor/mcp.json 的文件不存在,代理可以在未征得用户同意的情况下创建该文件,形成危险的攻击链:
步骤1:注入恶意提示以诱导 AI 代理;
步骤2:代理创建敏感的 MCP 配置文件;
步骤3:该文件被配置为加载恶意 MCP 服务器;
攻击代码悄无声息地在受害者机器上执行。
官方通报警告称:“这可能允许代理在宿主机上写入敏感 MCP 文件……并被用来直接执行代码。”
该漏洞影响 Cursor 版本 ≤ 1.2.1,已在版本 1.3.9 中修复。
CVE-2025-54136(CVSS 7.2):MCP 信任绕过导致持久远程代码执行
第二个漏洞是 MCP 服务器配置中的信任滥用漏洞。一旦用户在共享的 GitHub 仓库中批准了某个 MCP 服务器,任何拥有写权限的人都可以静默替换该服务器为恶意服务器,无需重新批准。
通报指出:“一旦协作者接受了无害的 MCP,攻击者可以悄无声息地将其替换为恶意命令(例如 calc.exe),且不会触发任何警告或重新提示。”
这为协作代码库中隐秘且持久的后门打开了大门,尤其对企业和开源团队构成严重威胁。
官方声明:“如果攻击者拥有用户活跃分支的写权限……攻击者就能实现任意代码执行。”
为缓解此风险,更新后的代理会在每次修改 mcpServer 条目时要求重新批准,而不仅限于首次添加时。
发表评论
您还未登录,请先登录。
登录