提示注入导致代码执行：Cursor 代码编辑器曝出关键 MCP 漏洞

发布时间：2025-12-07 21:13:45 作者：玩站小弟

人工智能驱动的代码编辑器Cursor近日修复了两个高危漏洞，攻击者可利用这些漏洞在无需用户交互的情况下实现远程代码执行RCE）。这两个漏洞编号为CVE-2025-54135和CVE-2025-5413 。

人工智能驱动的提示代码编辑器Cursor近日修复了两个高危漏洞，攻击者可利用这些漏洞在无需用户交互的注入执行情况下实现远程代码执行（RCE）。这两个漏洞编号为CVE-2025-54135和CVE-2025-54136 ，导致代码代码均涉及MCP（Multi-Context Prompting，编辑多上下文提示）配置文件——这是器曝控制工作区AI助手行为的亿华云强大机制。

CVE-2025-54135（CVSS评分8.6）：从提示注入到RCE的出关攻击链

第一个漏洞源于Cursor代理处理提示生成文件写入的方式。如果类似.cursor/mcp.json的漏洞文件不存在，代理可以在未经用户同意的香港云服务器提示情况下创建它。这形成了危险的注入执行攻击链：

第一步：注入恶意提示欺骗AI代理第二步：代理创建敏感的MCP配置文件第三步：该文件被配置为加载恶意MCP服务器

最终导致代码在受害者机器上静默执行。安全公告警告称："这可能允许代理在主机上写入敏感的导致代码代码MCP文件...并用于直接执行代码。"该漏洞影响Cursor 1.2.1及更早版本，源码下载编辑已在1.3.9版本中修复。器曝

CVE-2025-54136（CVSS评分7.2）：MCP信任绕过实现持久化RCE

第二个漏洞是出关MCP服务器配置中的信任滥用漏洞。一旦用户在共享的漏洞GitHub仓库中批准了MCP服务器，任何具有写入权限的高防服务器提示人都可以静默地将服务器替换为恶意服务器，且无需重新批准。

安全公告指出："一旦协作者接受了无害的MCP，攻击者就可以静默地将其替换为恶意命令（例如calc.exe），而不会触发任何警告或重新提示。"这为协作代码库中的模板下载隐蔽、持久后门打开了大门，对企业团队和开源团队尤其危险。

公告进一步说明："如果攻击者拥有用户活动分支的写入权限...攻击者可以实现任意代码执行。"作为缓解措施，更新后的服务器租用代理现在会在每次修改mcpServer条目时（而不仅仅是初次添加时）要求重新批准。

Tag：

原来用户隐私是这样被泄露：超八成搜索网站将信息出售
互联网时代给用户带来了极大地便利，但也让个人隐私信息无处躲藏。打开电商购物平台，APP的精准推荐总是让人感到不安；打开搜索平台，跳出的智能搜索记录着浏览行为；打开娱乐软件，推荐算法让用户逐渐沉迷其中.
2025-12-07
超越桌上的赌注：CISO Ian Schneller谈网络安全中不断演变的角色
当Ian Schneller在20世纪90年代初进入职场时，网络安全才刚刚成为企业内部的一项职能，这是一项专门的职能，主要是以技术能力发挥作用，挫败对本企业的攻击，并在某种程度上
2025-12-07
是否该拆分CISO角色？
近年来，网络安全得到了大量关注，随之而来的是立法、法规和更多的审查，这导致CISO现在的职责超出了保护企业的技术层面。IANS的一项研究显示，CISO不仅负责信息安全，还经常包括技术风险和合规等方面。
2025-12-07
微软：云服务大规模宕机因DDoS“防卫过当”
微软本周三晚间宣布，本周二全球范围内多个Microsoft 365和Azure云服务大规模长时间宕机事件的原因，是一次DDoS攻击触发了微软DDoS防护机制的“过激反应”。此次宕机影响了多个微软服务，
2025-12-07
能源部门如何增强对勒索软件攻击的抵御力？
能源部门在每个正常运作的社会中发挥着至关重要的作用，因此一直是由国家支持的网络犯罪分子的主要攻击目标。近年来，由于地缘政治紧张局势的加剧，针对该行业的网络威胁显著增长，由国家支持的网络间谍活动也随之增
2025-12-07
如何保护数据免遭勒索软件攻击威胁
随着企业越来越依赖数据，保护数据免遭丢失、破坏和盗窃的重要性已成为C级优先事项。恶意软件是数据丢失的主要原因，而勒索软件是最常见的恶意软件形式之一，它用无法破解的加密方式锁定数据，使其无用。现在，大多
2025-12-07