CVE-2025-54130

چکیده

یک آسیب‌پذیری با شدت بالا در ویرایشگر کد Cursor وجود دارد که مهاجم با سوءاستفاده از آن می‌تواند از طریق حمله‌ی Prompt Injection کد دلخواه خود را اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-54130 در ویرایشگر کد Cursor، که برای برنامه‌نویسی با استفاده از هوش مصنوعی طراحی شده، در نسخه‌های پیش از 1.3.9 شناسایی شده است. این آسیب‌پذیری ناشی از احراز هویت نادرست (مطابق با CWE-285) است و به Cursor Agent اجازه می‌دهد بدون تأیید کاربر اقدام به نوشتن فایل‌هایی در فضای کاری (workspace) کند. در شرایطی که فایل‌های حساس ویرایشگر، مانند  .vscode/settings.json ، از پیش در فضای کاری وجود نداشته باشند، مهاجم می‌تواند با زنجیره‌سازی یک آسیب‌پذیری prompt injection غیرمستقیم، Agent را به تغییر این فایل‌ها وادار کرده و در نهایت، اجرای کد از راه دور (RCE) را بدون دخالت کاربر روی سیستم قربانی ممکن سازد. این آسیب‌پذیری می‌تواند منجر به دستکاری تنظیمات مهم، مانند تغییر shell پیش‌فرض کاربر شده و زمینه اجرای کدهای مخرب را فراهم کند. آسیب‌پذیری مذکور در نسخه 1.3.9 با مسدودسازی نوشتن فایل‌های حساس ویرایشگر توسط Agent بدون تأیید کاربر، پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

برای جلوگیری از بهره‌برداری از این آسیب‌پذیری، ویرایشگر کد Cursor را به نسخه 1.3.9 به‌روزرسانی کنید و مطمئن شوید که ایجاد یا تغییر فایل‌های حساس ویرایشگر در فضای کاری تنها پس از تأیید صریح کاربر انجام شود. این اقدامات به کاهش ریسک اجرای کد دلخواه کمک می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-54130
2. https://www.cvedetails.com/cve/CVE-2025-54130/
3. https://github.com/cursor/cursor/security/advisories/GHSA-vqv7-vq92-x87f
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54130
5. https://vuldb.com/?id.318742
6. https://nvd.nist.gov/vuln/detail/CVE-2025-54130
7. https://cwe.mitre.org/data/definitions/285.html