人工智能驅(qū)動的代碼編輯器Cursor近日修復(fù)了兩個高危漏洞，攻擊者可利用這些漏洞在無需用戶交互的情況下實現(xiàn)遠程代碼執(zhí)行（RCE）。這兩個漏洞編號為CVE-2025-54135和CVE-2025-54136，均涉及MCP（Multi-Context Prompting，多上下文提示）配置文件——這是控制工作區(qū)AI助手行為的強大機制。

CVE-2025-54135（CVSS評分8.6）：從提示注入到RCE的攻擊鏈

第一個漏洞源于Cursor代理處理提示生成文件寫入的方式。如果類似.cursor/mcp.json的文件不存在，代理可以在未經(jīng)用戶同意的情況下創(chuàng)建它。這形成了危險的攻擊鏈：

• 第一步：注入惡意提示欺騙AI代理
• 第二步：代理創(chuàng)建敏感的MCP配置文件
• 第三步：該文件被配置為加載惡意MCP服務(wù)器

最終導(dǎo)致代碼在受害者機器上靜默執(zhí)行。安全公告警告稱："這可能允許代理在主機上寫入敏感的MCP文件...并用于直接執(zhí)行代碼。"該漏洞影響Cursor 1.2.1及更早版本，已在1.3.9版本中修復(fù)。

CVE-2025-54136（CVSS評分7.2）：MCP信任繞過實現(xiàn)持久化RCE

第二個漏洞是MCP服務(wù)器配置中的信任濫用漏洞。一旦用戶在共享的GitHub倉庫中批準了MCP服務(wù)器，任何具有寫入權(quán)限的人都可以靜默地將服務(wù)器替換為惡意服務(wù)器，且無需重新批準。

安全公告指出："一旦協(xié)作者接受了無害的MCP，攻擊者就可以靜默地將其替換為惡意命令（例如calc.exe），而不會觸發(fā)任何警告或重新提示。"這為協(xié)作代碼庫中的隱蔽、持久后門打開了大門，對企業(yè)團隊和開源團隊尤其危險。

公告進一步說明："如果攻擊者擁有用戶活動分支的寫入權(quán)限...攻擊者可以實現(xiàn)任意代碼執(zhí)行。"作為緩解措施，更新后的代理現(xiàn)在會在每次修改mcpServer條目時（而不僅僅是初次添加時）要求重新批準。