Er is een ernstige kwetsbaarheid ontdekt in de Cursor code-editor (CVE-2025-54130), die programmeurs met AI-functionaliteiten ondersteunt. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om kwetsbare bestanden binnen de werkruimte te schrijven zonder goedkeuring van de gebruiker, specifiek in versies lager dan 1.3.9.
Overzicht
De kwetsbaarheid houdt verband met de mogelijkheid om indirect een prompt injectie uit te voeren door het missen van goedkeuring bij het aanmaken van nieuwe bestanden. Dit kan leiden tot ‘Remote Code Execution’ (RCE) zonder gebruikersinteractie.
Aanbevelingen
- Update de Cursor code-editor naar versie 1.3.9 of hoger om deze kwetsbaarheid te verhelpen.
Vraag en Antwoord
1. Wat is CVE-2025-54130?
Dit is een gepubliceerde kwetsbaarheid met betrekking tot de Cursor code-editor, specifiek gericht op een prompt injectie probleem dat ongeautoriseerd bestandsschrijven toestaat.
2. Welke systemen zijn kwetsbaar voor CVE-2025-54130?
Alle systemen waarop een versie van de Cursor code-editor draait die lager is dan versie 1.3.9.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, update naar versie 1.3.9 om deze kwetsbaarheid te verhelpen.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden in de werkruimte aanmaken en wijzigen, wat kan leiden tot ongewenste wijzigingen in configuratiebestanden en potentieel tot Remote Code Execution zonder dat de gebruiker dit goedkeurt.
