Cele mai recente versiuni ale mediilor de dezvoltare integrate Cursor și Windsurf sunt vulnerabile la peste 94 de probleme de securitate cunoscute și remediate în browser-ul Chromium și motorul JavaScript V8.
Aproximativ 1,8 milioane de dezvoltatori, utilizatorii celor două IDE-uri, sunt expuși riscurilor.
Cercetătorii de la Ox Security explică faptul că ambele medii de dezvoltare sunt construite pe software vechi care include versiuni depășite ale browser-ului open-source Chromium și motorul V8 al Google.
Cursor și Windsurf se bazează pe versiuni vechi de VS Code care includ lansări vechi ale framework-ului Electron pentru construirea aplicațiilor cross-platform folosind tehnologii web (HTML, CSS, JavaScript).
„Deoarece Electron înglobează Chromium și V8, aceasta înseamnă că IDE-urile se bazează pe versiuni vechi ale Chromium și V8, expunându-le la vulnerabilități care au fost deja remediate în versiunile mai noi”, spun cercetătorii într-un raport distribuit către BleepingComputer.
Cercetătorii afirmă că IDE-urile Cursor și Windsurf sunt vulnerabile la cel puțin 94 de vulnerabilități prezente în versiunile Chromium pe care le utilizează.
În ciuda faptului că problema de securitate a fost dezvăluită responsabil începând cu 12 octombrie, riscurile sunt încă prezente deoarece Cursor a considerat raportul „en afara domeniului său de competență” și Windsurf nu a răspuns.
Cursor și Windsurf sunt editoare de cod alimentate de IA bifurcate din Visual Studio Code. Ele integrează modele de limbaj extinse (LLM) pentru a ajuta dezvoltatorii să scrie software mai ușor și mai rapid.
Sunt distribuite ca aplicații Electron, ceea ce înseamnă un timp de rulare al aplicației care împachetează o anumită versiune de Chromium pentru afișarea conținutului web și include motorul JavaScript V8 al browser-ului în binar.
Versiunea specifică Electron fixează o versiune Chromium + V8, iar dacă furnizorul nu o actualizează, problemele rezolvate în fiecare lansare ulterioară devin riscuri exploatabile în IDE.
Ox Security a demonstrat că este posibil să se exploateze depășirea de întregi JIT Maglev descrisă în CVE-2025-7656 printr-un deeplink, care execută Cursor și injectează un prompt instruind browser-ul să viziteze un URL îndepărtat care găzduiește o încărcătură de exploatare.
Pagina îndepărtată servește JavaScript care declanșează exploatarea CVE-2025-7656, cauzând o denegare de serviciu prin blocarea procesorului de redare.
Nir Zadok și Moshe Siman Tov Bustan de la Ox Security au demonstrat descoperirile lor vizând IDE-ul Cursor cu o exploatare pentru CVE-2025-7656, o vulnerabilitate de depășire a întregului în motorul V8 al Google Chrome, remediată la 15 iulie.
Exploatarea conceptului demonstrativ a determinat ca Cursor să intre într-o condiție de denegare de serviciu (crash), așa cum se arată în videoclipul de mai jos:
Cu toate acestea, Ox Security remarcă faptul că execuția de cod arbitrar este de asemenea posibilă în atacurile din lumea reală.
Un adversar ar avea mai multe opțiuni pentru a declanșa vulnerabilitatea. Cercetătorii spun că un atacator ar putea folosi o extensie malitioasă pentru a declanșa exploatarea sau injecta codul de exploatare în documentație și tutoriale.
Hackerii ar putea, de asemenea, să se bazeze pe atacuri de phishing clasice sau să profite de repository-uri otrăvite prin plasarea de cod malitios în fișierele README care sunt previzualizate în IDE.
Ox Security remarcă faptul că exploatarea nu funcționează pe cel mai recent VS Code, care este actualizat în mod regulat și abordează toate bug-urile cunoscute.
La primirea exploatației conceptuale, Cursor a respins raportul afirmând că DoS auto-infligat este în afara domeniului său de competență.
Dar cercetătorii au remarcat că această poziție ignoră potențialul mai grav de exploatare a vulnerabilității, inclusiv primitivele de corupție a memoriei sau chiar setul mai larg de CVE-uri neactualizate în aplicațiile Electron utilizate.
„De la ultima actualizare a lor de Chromium pe 21 martie 2025 pentru versiunea 0.47.9, deoarece Chromium 132.0.6834.210 era depășit, au fost publicate cel puțin 94 de CVE-uri cunoscute. Noi am militarizat doar unul. Suprafața de atac este imensă”, explică Ox Security.
BleepingComputer a contactat atât Cursor, cât și Windsurf pentru a le cere un comentariu cu privire la raportul Ox Security, dar până la momentul publicării nu am primit un răspuns.
46% dintre mediile de dezvoltare au avut parole sparte, aproape dublându-se față de 25% anul trecut.
Obțineți acum Raportul Picus Blue 2025 pentru o privire cuprinzătoare asupra altor constatări referitoare la prevenire, detectare și tendințele de exfiltrare a datelor.
Botnetul RondoDox vizează 56 de vulnerabilități n-day în atacuri la nivel mondial
Opera dorește să plătiți 19,90 dolari pe lună pentru noul său browser AI
Google remediază al șaselea zero-day Chrome exploatat în atacuri în acest an
Editorul de cod AI Cursor permite repo-urilor să ruleze automat cod malitios pe dispozitive
Ransomware-ul PromptLock experimental folosește AI pentru a cripta, fura date
Leave a Reply