CVE-2025-54131

چکیده

یک آسیب‌پذیری در ویرایشگر کد Cursor نسخه‌های پیش از 1.3شناسایی شده است. این آسیب پذیری امکان دورزدن لیست مجاز  (allow list)را در حالت اجرای خودکار با استفاده از کاراکترهایی مانند  (`) یا $(cmd) فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-54131 در ویرایشگر کد Cursor، به مهاجمان این امکان را می‌دهد که در صورت غیرفعال بودن تنظیمات پیش‌فرض و استفاده از لیست مجاز (Allow List) برای اجرای خودکار دستورات، با بهره‌گیری از کاراکترهایی مانند بک‌تیک (`) یا $(cmd)، دستورات دلخواهی را خارج از لیست مجاز و بدون تأیید کاربر اجرا کنند. این ضعف امنیتی در صورت ترکیب با حملات غیرمستقیم prompt injection می‌تواند منجر به اجرای فرمان‌های دلخواه شود. همچنین محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم را تحت تأثیر قرار می دهد. بهره‌برداری از آن نیازمند سطح دسترسی بالا، تعامل کاربر و شرایط نسبتاً پیچیده است، اما می‌تواند از راه دور نیز اجرا شود. این آسیب پذیری در نسخه 1.3 با به کارگیری تجزیه گر لیست قوی تر در الگوریتم پردازش لیست مجاز برطرف شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران Cursor توصیه می‌شود هرچه سریع‌تر به نسخه 1.3 یا بالاتر به‌روزرسانی کنند. همچنین پیشنهاد می‌شود تنظیمات مربوط به اجرای خودکار و سیاست‌های لیست مجاز با دقت بررسی شده و در صورت امکان از حالت تأیید دستی استفاده شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-54131
2. https://www.cvedetails.com/cve/CVE-2025-54131/
3. https://github.com/cursor/cursor/security/advisories/GHSA-534m-3w6r-8pqr
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54131
5. https://nvd.nist.gov/vuln/detail/CVE-2025-54131
6. https://cwe.mitre.org/data/definitions/77.html