近日,在cursor ai代码编辑器中发现一个远程代码执行(rce)漏洞,该漏洞会使恶意软件“自动运行”。当恶意代码存储库被打开时,此漏洞可让代码在用户机器上运行。
研究团队发现,该漏洞利用了这款流行编辑器的默认配置设置,绕过了典型的用户同意提示。其核心问题在于,Cursor默认的“工作区信任”功能处于禁用状态。在VS Code中,这项安全设置的作用是防止不受信任的代码自动执行。而Cursor关闭此功能后,攻击者就能构建一个包含特殊配置.vscode/tasks.json文件的恶意代码存储库。通过将runOptions.runOn参数设置为“folderOpen”,开发人员在Cursor中打开项目文件夹时,任务文件里的任何命令都会执行。
这一漏洞会把看似平常的操作,变成在用户安全上下文中静默执行代码的过程,且不会有任何警告或信任提示。攻击者可借此漏洞窃取敏感信息、修改本地文件,或者与命令与控制服务器建立连接。开发人员的计算机通常存有高权限凭证,入侵他们的笔记本电脑,攻击者能立刻获取云API密钥、个人访问令牌(PAT)和活跃的SaaS会话。
危险还不止于此。攻击者一旦获得最初的立足点,就可能转向连接的CI/CD管道和云基础设施。这种横向移动可能导致非人类身份(如服务账户)的泄露,而这些身份在整个组织环境中往往拥有广泛且强大的权限。也就是说,一个被埋设陷阱的存储库,就可能引发大范围的安全事件。
运行默认配置的Cursor用户会直接受到此漏洞的影响。与之不同的是,启用了“工作区信任”的标准Visual Studio Code用户,面临的风险相对较低。因为该功能会阻止自动任务执行,直到用户明确授予对项目文件夹的信任。
针对此漏洞披露,Cursor方面表示,用户可手动启用“工作区信任”,并且更新的安全指南将很快发布。研究团队也为开发团队提供了即时强化建议。
用户应在Cursor中启用“工作区信任”,要求启动时提示,还可考虑将task.allowAutomaticTasks选项设置为“关闭”。此外,建议在安全、隔离的环境(如一次性容器或虚拟机)中打开所有未知存储库,以此防止潜在的代码执行。以上就是Cursor AI 代码编辑器 RCE 漏洞,恶意软件自动运行风险巨大!的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
195
