خانه » CVE-2025-54133
هشدار‌های سایبری

CVE-2025-54133

Cursor's MCP Install Deeplink Does Not Show Arguments in its User-Dialog

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 5 بازدید
هشدار سایبری CVE-2025-54133



  • شناسه CVE-2025-54133 :CVE
  • CWE-78/CWE-200 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 1, 2025
  • به روز شده: آگوست 1, 2025
  • امتیاز: 5.3
  • نوع حمله: Social Engineering
  • اثر گذاری: Command Execution
  • حوزه: برنامه نویسی
  • برند: cursor
  • محصول: cursor
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در نرم‌افزار Cursor نسخه‌های 1.17 تا قبل از 1.3 شناسایی شده است. این آسیب پذیری باعث می شود آرگومان‌های یک دستور در دیالوگ نصب MCP هنگام استفاده از لینک‌های cursor:// نمایش داده نشوند. این ضعف می‌تواند توسط مهاجم با ارسال لینک مخرب و اجرای یک حمله مهندسی اجتماعی، منجر به اجرای دستورات دلخواه روی سیستم قربانی شود.

توضیحات

در نرم‌افزار Cursor، یک آسیب‌پذیری در مدیریت لینک‌های عمیق (deeplink) پروتکل MCP (Model Context Protocol) وجود دارد که منجر به افشای اطلاعات در رابط کاربری می‌شود. این آسیب‌پذیری به مهاجم اجازه می‌دهد از طریق حملات مهندسی اجتماعی، با استفاده از لینک‌های مخرب با ساختار cursor://anysphere.cursor-deeplink/mcp/install، دستورات دلخواه سیستم عامل را روی سیستم قربانی اجرا کند.

مشکل اصلی در دیالوگ نصب (installation dialog) نرم‌افزار است که آرگومان‌های ارسالی به دستور در حال اجرا را نمایش نمی‌دهد. هنگامی که کاربر روی یک لینک مخرب کلیک می‌کند، پنجره نصب ظاهر می‌شود و تنها دستور اصلی (بدون آرگومان‌ها) را نشان می‌دهد. در صورتی که کاربر این دیالوگ را بررسی کرده و تأیید کند، دستور کامل به همراه آرگومان‌های مخرب روی سیستم اجرا می‌شود. این فرآیند نیازمند دو کلیک از سوی کاربر است: کلیک روی لینک مخرب و تأیید دیالوگ نصب. این آسیب پذیری می‌تواند منجر به اجرای کد مخرب، دسترسی غیرمجاز به سیستم یا نصب بدافزار شود، به‌ویژه در سناریوهایی که کاربر به منبع لینک اعتماد دارد.

آسیب‌پذیری مذکور در نسخه 1.3 با اصلاح رابط کاربری دیالوگ نصب برطرف شده است، به‌طوری که آرگومان‌های ارسالی به دستور به طور شفاف به کاربر نمایش داده می‌شوند. این به روزرسانی، ریسک اجرای ناخواسته دستورات مخرب را به طور قابل توجهی کاهش می‌دهد.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

لیست محصولات آسیب پذیر

Versions Product
affected at >= 1.17, < 1.3 cursor

لیست محصولات بروز شده

Versions Product
1.3 cursor

نتیجه گیری

به کاربران توصیه می شود برای جلوگیری از بهره‌برداری، نرم‌افزار Cursor را به نسخه 1.3 به روزرسانی کرده و از کلیک روی لینک‌های ناشناخته یا غیرقابل‌اعتماد خودداری کنند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-54133
  2. https://www.cvedetails.com/cve/CVE-2025-54133/
  3. https://github.com/cursor/cursor/security/advisories/GHSA-r22h-5wp2-2wfv
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54133
  5. https://vuldb.com/?id.318580
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-54133
  7. https://cwe.mitre.org/data/definitions/78.html
  8. https://cwe.mitre.org/data/definitions/200.html

همچنین ممکن است دوست داشته باشید

CVE-2025-43273

CVE-2025-43277

CVE-2025-43267

CVE-2025-43270

CVE-2025-54136

CVE-2025-54792

CVE-2025-54424

CVE-2025-54131

CVE-2025-54528

CVE-2025-54531

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.