CVE-2025-54136
Mis à jour :
Vulnérabilité RCE dans l’éditeur de code Cursor
Une faille de sécurité affecte les versions 1.2.4 et antérieures de Cursor, un éditeur de code dopé à l’IA. Elle permet à des attaquants d’exécuter du code à distance et de manière persistante.
Points clés :
- Vulnérabilité : Les attaquants peuvent modifier un fichier de configuration de “Multi-Context Prompting” (MCP) déjà approuvé par l’utilisateur. Cela peut se faire soit via un dépôt GitHub partagé où l’attaquant dispose de droits d’écriture, soit localement sur la machine de la cible.
- Mécanisme d’attaque : Une fois qu’un utilisateur a validé une configuration MCP bénigne, un attaquant peut la remplacer par une configuration malveillante sans que l’utilisateur en soit averti ou qu’une nouvelle approbation ne soit requise. Cette nouvelle configuration peut exécuter des commandes arbitraires (comme lancer
calc.exe). - Impact : L’exécution de code à distance et persistante peut mener à la création de portes dérobées, particulièrement dans des environnements de codage collaboratifs.
Vulnérabilités :
- CVE : CVE-2025-54136
- Type : Abus de confiance dans la configuration du serveur MCP (Multi-Context Prompting).
Recommandations :
- Mise à jour : La vulnérabilité est corrigée dans Cursor version 1.3. Les utilisateurs sont fortement encouragés à mettre à jour leur logiciel. La version 1.3 demande une nouvelle approbation à chaque modification d’une entrée
mcpServer.
Statut NVD : En attente d’analyse.
Score CVSS 3.1 :
- Score de base : 7.2
- Chaîne vectorielle : CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H