AIコードエディタCursorの脆弱性により、リモートの攻撃者が間接的なプロンプトインジェクションの問題を悪用して、機密性の高いMCPファイルを改ざんし、任意のコードを実行できる可能性がありました。
CVE-2025-54135(CVSSスコア8.6)として追跡されているこの脆弱性は、Cursorが機密性の高いMCPファイルを作成する際にユーザーの承認を必要としなかったことに起因しています。
このセキュリティ上の欠陥により、攻撃者は間接的なプロンプトインジェクションを通じて .cursor/mcp.json ファイルのようなドットファイルを書き込み、その後ユーザーの承認なしにリモートコード実行(RCE)を引き起こすことができました。
「別のプロンプトインジェクションの脆弱性と組み合わせることで、エージェントによってホスト上に機密性の高いMCPファイルを書き込むことが可能になります。これにより、新しいMCPサーバーとして追加することで直接コードを実行できるようになります」とCursorのアドバイザリには記載されています。
このバグを発見し、CurXecuteと名付けたAim Labsによると、問題は提案されたmcp.jsonの編集が、ユーザーが承認または拒否する前に即座にディスクに書き込まれ、Cursorがそれを実行してしまう点にあります。
そのため、攻撃者はエージェントを信頼できないデータにさらす標準的なMCPサーバーを追加し、エージェントにmcp.jsonを改善するよう指示するプロンプトを与えることで、Cursorが変更されたファイル内のMCPサーバーを起動し、RCEにつながります。
「これはユーザーが提案を承認または拒否する機会を持つ前に発生し、攻撃者に任意のコマンド実行を与えることになります」とAim Labsは強調しています。
Aim Labsによれば、外部コンテンツを処理するサードパーティのMCPサーバーは、カスタマーサポートツール、課題管理ツール、検索エンジンを含め、この攻撃に対して脆弱です。
広告。スクロールして続きをお読みください。
Cursorバージョン1.3で対処されたこの問題は、最近AIエージェントで解決された唯一のコード実行の脆弱性ではありません。もう1つはCVE-2025-54136(CVSSスコア7.2)として追跡されており、攻撃者が警告を発することなく無害なMCP設定ファイルを悪意のあるコマンドに置き換えることができた可能性があります。
「攻撃者がユーザーのアクティブなソースリポジトリのブランチに書き込み権限を持っており、そこにユーザーが以前承認したMCPサーバーが存在する場合、または攻撃者がローカルで任意のファイル書き込みを行える場合、攻撃者は任意のコード実行を達成できます」とCursorは述べています。
Cursorに対する別の間接的なプロンプトインジェクション攻撃はBackSlashとHiddenLayerによって指摘されました。これはCursorのAuto-Runモードに関連しており、コマンドが権限を要求せず自動的に実行されるもので、Cursorバージョン1.3で対処されました。
ユーザーはAIエージェントが実行する際にユーザーの許可を求める必要があるコマンドのリストを定義できましたが、この保護はgitリポジトリのReadme内のコメントブロックにプロンプトインジェクションを含めることで回避できました。
被害者がリポジトリをクローンすると、Cursorは指示を読み取り、それに従うため、攻撃者はシステムから機密情報を抜き出したり、正規のツールを連鎖させてファイルを収集・流出させたり、その他の悪意ある行為を被害者に警告することなく実行できますとHiddenLayerは述べています。
「私たちは、侵害されたエージェントがCursorの拒否リストを回避し、不正なコマンドを実行する方法を少なくとも4つ発見しました」とBackSlashは述べています。
関連記事: VibeコーディングプラットフォームBase44の脆弱性により企業アプリケーションが露出
関連記事: エージェンティックAIの無法地帯 ― CISOが無視できない攻撃対象領域
翻訳元: https://www.securityweek.com/several-vulnerabilities-patched-in-ai-code-editor-cursor/