一、 漏洞 CVE-2025-54136 基础信息
漏洞信息
                                        # Cursor MCP服务器定义修改绕过手动审批

## 概述

Cursor 是一款专为 AI 编程设计的代码编辑器。在版本 1.2.4 及以下中,存在一个安全漏洞,允许攻击者通过修改受信任的 MCP 配置文件实现远程且持久的代码执行。

## 影响版本

- Cursor ≤ 1.2.4

## 漏洞细节

- 攻击者可在共享的 GitHub 仓库中修改已受信任的 MCP 配置文件,或将目标机器本地的 MCP 文件替换。
- 一旦用户接受了原本无害的 MCP 请求,攻击者可悄无声息地将该 MCP 替换为恶意命令(例如:`calc.exe`),且不会再次提示用户或触发警告。
- 利用前提是攻击者具有用户正在使用的代码仓库分支的写权限,且该分支包含用户之前批准过的 MCP 服务器信息。
- 或者攻击者具备在用户本地设备任意写文件的权限。

## 影响

- 可导致任意代码执行。
- 持久性和远程利用能力增强攻击的危险程度。

## 修复

- 该漏洞已在 Cursor 1.3 版本中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cursor's Modification of MCP Server Definitions Bypasses Manual Re-approvals
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cursor is a code editor built for programming with AI. In versions 1.2.4 and below, attackers can achieve remote and persistent code execution by modifying an already trusted MCP configuration file inside a shared GitHub repository or editing the file locally on the target's machine. Once a collaborator accepts a harmless MCP, the attacker can silently swap it for a malicious command (e.g., calc.exe) without triggering any warning or re-prompt. If an attacker has write permissions on a user's active branches of a source repository that contains existing MCP servers the user has previously approved, or allows an attacker has arbitrary file-write locally, the attacker can achieve arbitrary code execution. This is fixed in version 1.3.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-54136 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-54136 的情报信息
四、漏洞 CVE-2025-54136 的评论

暂无评论

发表评论