Los investigadores de ciberseguridad han revelado una falla de seguridad de alta severidad ahora parada en Cursor, un editor de código de inteligencia artificial (IA) popular, que podría resultar en una ejecución de código remoto.
La vulnerabilidad, rastreada como CVE-2025-54135 (Puntuación CVSS: 8.6), se ha abordado en la versión 1.3 lanzado el 29 de julio de 2025. Ha sido llamado Curxecute de AIM Labs, que previamente reveló Echoleak.
«El cursor se ejecuta con privilegios a nivel de desarrollador, y cuando se combina con un servidor MCP que obtiene datos externos no confiables, esos datos pueden redirigir el flujo de control del agente y explotar esos privilegios», dijo el equipo de AIM Labs en un informe compartido con las noticias del hacker.
«Al alimentar datos envenenados al agente a través de MCP, un atacante puede obtener la ejecución completa del código remoto bajo los privilegios del usuario y lograr cualquier cantidad de cosas, incluidas las oportunidades de ransomware, robo de datos, manipulación de IA y alucinaciones, etc.»
En otras palabras, la ejecución del código remoto activado por una sola inyección de inmediato de hostigación externamente que reescribe silenciosamente el archivo «~/.cursor/mcp.json» y ejecuta comandos controlados por el atacante.
La vulnerabilidad es similar a Echoleak en que las herramientas, que están expuestas por los servidores del Protocolo de control de modelos (MCP) para los modelos de IA y facilitan la interacción con sistemas externos, como consultar bases de datos o invocar API, podrían obtener datos no confiables que puedan envenenar el comportamiento esperado del agente.
Específicamente, AIM Security descubrió que el archivo MCP.JSON utilizado para configurar los servidores MCP personalizados en el cursor puede desencadenar la ejecución de cualquier entrada nueva (por ejemplo, agregar un servidor MCP Slack) sin requerir ninguna confirmación.
Este modo automático es particularmente peligroso porque puede conducir a la ejecución automática de una carga útil maliciosa que el atacante inyecta a través de un mensaje flojo. La secuencia de ataque procede de la siguiente manera –
- El usuario agrega Slack MCP Server a través de la interfaz de usuario de Cursor
- Mensaje de publicaciones del atacante en un canal público de holgura con la carga útil de inyección de comando
- La víctima abre un nuevo chat y le pide al agente de Cursor que use el servidor Slack MCP recién configurado para resumir sus mensajes en un aviso: «Use herramientas Slack para resumir mis mensajes»
- El agente encuentra un mensaje especialmente elaborado diseñado para inyectar comandos maliciosos a su contexto
«La causa central de la falla es que las nuevas entradas al archivo Global MCP JSON están comenzando automáticamente», dijo Aim Security. «Incluso si la edición es rechazada, la ejecución del código ya había sucedido».
Todo el ataque es notable por su simplicidad. Pero también destaca cómo las herramientas asistidas por AI-AI pueden abrir nuevas superficies de ataque al procesar contenido externo, en este caso, cualquier servidor de MCP de terceros.
«A medida que los agentes de IA sigan unir mundos externos, internos e interactivos, los modelos de seguridad deben asumir que el contexto externo puede afectar el tiempo de ejecución del agente y monitorear cada salto», agregó la compañía.
La versión 1.3 del cursor también aborda otro problema con el modo automático que puede eludir fácilmente las protecciones basadas en el denylista de la plataforma utilizando métodos como la codificación de base64, los scripts de shell y la encerración de los comandos de shell dentro de las citas (por ejemplo, «E» Cho Cho) para ejecutar comandos inseguros.
Después de la divulgación responsable del equipo de investigación de barra de inactividad, Cursor ha dado el paso de desaprobar por completo la función Denylist para auto-carrera a favor de una lista de algodín.
«No espere que las soluciones de seguridad incorporadas proporcionadas por las plataformas de codificación VIBE sean integrales o infalibles», dijeron los investigadores Mustafa Naamneh y Micah Gold. «La responsabilidad se encuentra en organizaciones de usuario final para garantizar que los sistemas de agente estén equipados con barandillas adecuadas».
La divulgación se produce cuando Hiddenlayer también descubrió que el enfoque del denylista ineficaz del cursor se puede armarse incrustando instrucciones maliciosas ocultas con un archivo GitHub ReadMe.md, permitiendo a un atacante robar claves API, credenciales de SSH e incluso ejecutar comandos de sistema bloqueados.
«Cuando la víctima vio el proyecto en GitHub, la inyección rápida no era visible, y le pidieron a Cursor que clonara el proyecto y los ayudara a establecerlo, una ocurrencia común para un sistema de agente basado en IDE», señalaron los investigadores Kasimir Schulz, Kenneth Yeung y Tom Bonner.
«Sin embargo, después de clonar el proyecto y revisar el ReadMe para ver las instrucciones para configurar el proyecto, la inyección de inmediato se hizo cargo del modelo AI y la obligó a usar la herramienta GREP para encontrar cualquier tecla en el espacio de trabajo del usuario antes de exfiltrar las claves con rizo».
Hiddenlayer dijo que también encontró debilidades adicionales que podrían abusarse de filtrar el indicador del sistema del cursor al anular la URL base proporcionada para las solicitudes de API de OpenAI a un modelo proxiado, así como exfiltrar las claves SSH privadas de un usuario al aprovechar dos herramientas benignas, Read_File y Create_Diagram, en lo que se llama una combinación de combinación de herramientas.
Esto esencialmente implica insertar un comando de inyección de inmediato dentro de un archivo GitHub ReadMe.md que está analizado por el cursor cuando el usuario de la víctima le pide al editor de códigos que resume el archivo, lo que resulta en la ejecución del comando.
https://www.youtube.com/watch?v=jyrceponqks
La instrucción oculta, por su parte, utiliza la herramienta Read_file para leer las claves SSH privadas que pertenecen al usuario y luego utiliza la herramienta Create_Diagram para exfiltrar las teclas a una URL de sitio web de sitios controlado por el atacante. Todas las deficiencias identificadas han sido remediadas por el cursor en la versión 1.3.
La noticia de varias vulnerabilidades en el cursor se produce cuando TraceBit ideó un ataque dirigido a la CLI Gemini de Google, una herramienta de línea de código abierto ajustada para las tareas de codificación, que explotó una configuración predeterminada de la herramienta para exfiltrar los datos confilados subrepticiamente a un servidor controlado por el atacante con curvas.
Como observado en el caso del cursor, el ataque requiere que la víctima (1) instruya a Gemini CLI que interactúe con una base de código GitHub creada por el atacante que contenga una inyección indirecta indirecta en el archivo de contexto Gemini.MD y (2) agregue un comando benign a una lista de alquiler (EG, Grep).
«La inyección inmediata dirigida a estos elementos, junto con problemas significativos de validación y visualización dentro de Gemini CLI podría causar una ejecución de código arbitraria indetectable», dijo el fundador de TraceBit y CTO Sam Cox.
Para mitigar el riesgo planteado por el ataque, se aconseja a los usuarios de Gemini CLI que actualicen sus instalaciones a la versión 0.1.14 enviada el 25 de julio de 2025.