Byly odhaleny dvě zranitelnosti v Cursoru, populárním editoru kódu s podporou umělé inteligence, které ovlivňují jeho zpracování serverů MCP (Model Context Protocol). Tyto zranitelnosti by mohly být použity k získání spuštění kódu na zranitelných systémech.
Často kladené otázky
Co je Cursor?
Cursor je integrované vývojové prostředí (IDE) s podporou umělé inteligence neboli editor kódu s umělou inteligencí, vyvinutý společností Anysphere. Poprvé byl vydán v březnu 2023.
Kdo používá Cursor?
V lednu 2025 měl Cursor podle zprávy agentury Bloomberg přes 1 milion uživatelů. Společnost uvádí, že Cursor používá více než polovina společností z žebříčku Fortune 500, mezi svými zákazníky jmenuje NVIDIA, Uber a Adobe.
Co je CurXecute a MCPoison?
CurXecute a MCPoison jsou názvy dvou samostatných zranitelností v Cursoru.
Jaké jsou zranitelnosti spojené s CurXecute a MCPoison?
Následující CVE jsou přiřazeny pro CurXecute i MCPoison:
| CVE (Common Error Environmental Protection – Přežití virů) | Popis | CVSSv3 |
|---|---|---|
| CVE-2025-54135 | Zranitelnost umožňující spuštění libovolného kódu Cursoru („CurXecute“) | 8,5 |
| CVE-2025-54136 | Zranitelnost umožňující vzdálené spuštění kódu Cursoru prostřednictvím neověřené modifikace konfigurace („MCPoison“) | 7.2 |
Kdy byly tyto zranitelnosti poprvé odhaleny?
Útok CurXecute (CVE-2025-54135) byl odhalen 1. srpna výzkumníky ze společnosti AIM Security, zatímco útok MCPoison (CVE-2025-54136) byl odhalen 5. srpna výzkumníky ze společnosti Check Point Research.
Byla některá z těchto zranitelností zneužita jako zero-day zranitelnost?
Ne, tyto zranitelnosti byly společnosti Cursor sděleny příslušnými výzkumníky prostřednictvím koordinovaného zveřejnění 7. července (CurXecute) a 16. července (MCPoison).
Jsou k dispozici nějaké ověření konceptu (PoC) pro CurXecute a MCPoison?
Ano, výzkumníci zveřejnili podrobnosti o PoC na svých blogových příspěvcích a vysvětlili, jak by útočníci mohli tyto chyby potenciálně zneužít.
Jak závažné jsou CurXecute a MCPoison?
Obě zranitelnosti mohou být závažné, ale závisí na kontextu. Společným rysem obou chyb je způsob, jakým Cursor zpracovává interakci se servery MCP.
Úvod do MCP najdete v blogu Často kladené otázky o protokolu MCP (Model Context Protocol) a integraci s umělou inteligencí pro agentní aplikace. Společnost Tenable Research dále publikovala výzkumy týkající se zabezpečení MCP, včetně vkládání promptů do MCP a našeho objevu kritické chyby v nástroji Anthropic MCP Inspector.
V příkladu popsaném službou AIM Security pro CurXecute by útočník mohl využít prompt injection cílením na MCP připojený k instanci Slack a odesláním vytvořené zprávy, kterou by zpracoval server Slack MCP a přečetl Cursor, aby upravil podkladové globální konfigurační nastavení mcp.json ještě předtím, než by uživatel měl možnost odmítnout navrhované úpravy umělou inteligencí. Důležité je, že Cursor by okamžitě provedl příkaz přidaný do upravené konfigurace MCP.
V příkladu popsaném společností Check Point Research pro MCPoison pramení chyba ze schválení MCP serveru, který obsahuje konfiguraci specifickou pro projekt (mcp.json). Jakmile je tento MCP server schválen cílem, veškeré změny v podkladové konfiguraci jsou považovány za důvěryhodné, protože je vázán na název MCP, nikoli na jeho obsah. To by útočníkovi umožnilo upravit konfiguraci tak, aby obsahovala škodlivé příkazy, které by byly provedeny tiše a bez nutnosti opětovného schválení.
Editory kódu s podporou umělé inteligence pomáhají s vývojem softwaru, ale zavádějí novou vrstvu rizika. Ať už aktivací MCP serverů, které by mohly být zranitelné vůči prompt injection (CurXecute), nebo využitím zdánlivě neškodného open-source projektu, který je následně napaden škodlivým přispěvatelem (MCPoison).
Jsou pro CurXecute a MCPoison k dispozici záplaty nebo zmírnění problémů?
Ano, Cursor vydal aktualizované verze svého IDE, které řeší problémy s CurXecute i MCPoison.
| CVE (Common Error Environmental Protection – Přežití virů) | Dotčený produkt | Dotčené verze | Pevná verze |
|---|---|---|---|
| CVE-2025-54135 | Cursor | 1.21 a méně | 1.3.9 |
| CVE-2025-54136 | Cursor | 1.2.4 a nižší | 1.3 |
Zveřejnila společnost Tenable nějaké informace o produktech týkajících se těchto zranitelností?
Seznam pluginů Tenable pro tyto zranitelnosti naleznete na jednotlivých stránkách CVE hned po jejich vydání:
Tento odkaz zobrazí všechny dostupné pluginy pro tyto zranitelnosti, včetně připravovaných pluginů v seznamu pluginů.
Zákazníci Tenable mohou také použít plugin MCP Server Detected k identifikaci využití serveru MCP.
