AI 编程神器 Cursor 曝 8.6 分高危漏洞,可远程执行任意命令
科技媒体报道称,让程序员“氪金”上瘾的 AI 工具 Cursor 存在 CurXecute 严重漏洞,几乎影响所有版本。官方已发布 1.3 版本修复,并敦促开发者尽快升级。该漏洞编号为 CVE-2025-54135,可以被攻击者利用注入恶意提示,让 AI 智能体执行远程代码,并获得开发者权限。攻击手法与 Microsoft 365 CoPilot 的“EchoLeak”漏洞类似,攻击者可通过外部托管的服务注入恶意提示,篡改项目目录下的 mcp.json 文件,从而实现任意命令的远程执行。研究人员于 7 月 7 日私下报告漏洞,Cursor 次日即合并补丁至主分支。Cursor 同时发布安全公告,将漏洞评为中等严重性(8.6 分),敦促用户立即更新至最新版本。
—— IT之家
via 风向旗参考快讯 - Telegram Channel
科技媒体报道称,让程序员“氪金”上瘾的 AI 工具 Cursor 存在 CurXecute 严重漏洞,几乎影响所有版本。官方已发布 1.3 版本修复,并敦促开发者尽快升级。该漏洞编号为 CVE-2025-54135,可以被攻击者利用注入恶意提示,让 AI 智能体执行远程代码,并获得开发者权限。攻击手法与 Microsoft 365 CoPilot 的“EchoLeak”漏洞类似,攻击者可通过外部托管的服务注入恶意提示,篡改项目目录下的 mcp.json 文件,从而实现任意命令的远程执行。研究人员于 7 月 7 日私下报告漏洞,Cursor 次日即合并补丁至主分支。Cursor 同时发布安全公告,将漏洞评为中等严重性(8.6 分),敦促用户立即更新至最新版本。
—— IT之家
via 风向旗参考快讯 - Telegram Channel
