CVE-2025-54136
Mis à jour :
Cursor : Exécution de code à distance via des configurations tronquées
Une faille de sécurité identifiée sous la référence CVE-2025-54136 affecte l’éditeur de code Cursor, dans ses versions 1.2.4 et antérieures. Cette vulnérabilité permet une exécution de code à distance et persistante.
Points clés :
- Un attaquant ayant des droits d’écriture sur un dépôt GitHub partagé ou un accès local peut modifier un fichier de configuration Multi-Context Prompting (MCP) déjà approuvé.
- L’attaquant peut substituer le fichier légitime par une version malveillante, introduisant des commandes nuisibles sans que l’utilisateur ne soit alerté ni ne doive réitérer son approbation.
- Ceci ouvre la voie à l’installation de portes dérobées, particulièrement dans les environnements de développement collaboratif.
Vulnérabilité :
- CVE-2025-54136
- Description : Abus de confiance dans la configuration du serveur MCP. L’exploitation nécessite que l’attaquant dispose de droits d’écriture sur des branches actives d’un dépôt source contenant des configurations MCP approuvées, ou qu’il puisse écrire des fichiers localement sur la machine de la cible.
- Score CVSS 3.1 : 7.2 (Élevé)
- Vecteur : CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Recommandations :
- La vulnérabilité est corrigée dans Cursor version 1.3. Il est recommandé de mettre à jour l’éditeur vers cette version ou une version ultérieure pour bénéficier des protections adéquates. Les versions ultérieures demandent une ré-approbation systématique lors de toute modification d’une entrée
mcpServer.