一、 漏洞 CVE-2025-54132 基础信息
漏洞信息
                                        # Cursor Mermaid 图像获取漏洞

## 概述

Cursor 是一个面向 AI 编程的代码编辑器。在 1.3 以下版本中,其使用的 Mermaid 组件存在安全隐患,可能导致敏感信息泄露。

## 影响版本

版本 1.3 以下

## 细节

Cursor 使用 Mermaid 渲染图表,而 Mermaid 支持嵌入图片。攻击者可通过构造恶意内容,利用该功能在 Cursor 的聊天窗口中触发图片加载请求。

## 影响

在发生 prompt 注入攻击的情况下,Cursor 可能向攻击者控制的外部服务器发送敏感信息。可能导致泄露的数据来源包括网页内容、图像上传或源代码等。恶意模型(如被篡改或存在后门的模型)也可主动触发此攻击行为。

## 修复情况

该问题已在版本 1.3 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cursor's Mermaid Diagram Tool is Vulnerable to an Arbitrary Image Fetch
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cursor is a code editor built for programming with AI. In versions below 1.3, Mermaid (which is used to render diagrams) allows embedding images which then get rendered by Cursor in the chat box. An attacker can use this to exfiltrate sensitive information to a third-party attacker controlled server through an image fetch after successfully performing a prompt injection. A malicious model (or hallucination/backdoor) might also trigger this exploit at will. This issue requires prompt injection from malicious data (web, image upload, source code) in order to exploit. In that case, it can send sensitive information to an attacker-controlled external server. This is fixed in version 1.3.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-54132 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-54132 的情报信息
四、漏洞 CVE-2025-54132 的评论

暂无评论

发表评论