关于Anysphere公司Cursor代码编辑器远程代码执行漏洞(CVE-2025-54135)的通知
近期,美国Anysphere公司开发的人工智能代码编辑器Cursor被曝存在高危安全漏洞(CVE-2025-54135),可能导致远程代码执行,严重威胁设备数据安全与系统稳定性。
在版本号低于 1.3.9 的版本中,Cursor可在未经用户授权的情况下直接写入工作区文件。若目标文件为点文件(dotfile),编辑现有文件需经用户批准,而创建新文件则无需批准。因此,如果工作区中尚不存在敏感的MCP配置文件(例如.cursor/mcp.json),攻击者可利用间接提示词注入漏洞,通过劫持上下文向设置文件写入恶意内容,进而在未经用户授权的情况下,在受害者设备上触发远程代码执行(RCE)。
该问题已在版本1.3.9中修复,建议立即升级至1.3.9或更高的版本。