Prostredia Cursor a Windsurf obsahujú desiatky zraniteľností

Bezpečnostní výskumníci spoločnosti Ox Security upozornili na prítomnosť veľkého množstva známych zraniteľností v aktuálnych verziách vývojových prostredí Cursor a Windsurf, z dôvodu implementácie starých verzií nástrojov Chromium a V8. Výskumníci varujú, že ignorovanie či neaktualizovanie takýchto chýb predstavuje vážnu bezpečnostnú hrozbu.

Zraniteľné systémy:

• Cursor 0.47.6 až 1.7.46 (minimálne)
• Windsurf, najnovšia verzia

Opis činnosti:

Bezpečnostní výskumníci spoločnosti Ox Security testovali aktuálne verzie vývojových prostredí Cursor a Windsurf. Zistili, že obsahujú viac ako 94 známych a odstránených zraniteľností v prehliadačovom nástroji Chromium a JavaScript V8, pretože obe prostredia používajú staršie verzie platformy Electron. Približne 1,8 milióna vývojárov, ktorí tieto vývojové prostredia používajú, sa vystavuje riziku útokov prostredníctvom zneužitia niektorej z nich.

Výskumníci problém demonštrovali zneužitím zraniteľnosti CVE-2025-7656 kompilátora Maglev JIT v nástroji V8, keď prostredníctvom škodlivého deeplinku dokázali vykonať príkaz presmerúvajúci prehliadač prostredia (Simple Browser) na zdroj škodlivého kódu. Ten sa vykonal bez detekcie, pretože nebol prítomný priamo v príkaze. Autori Cursor sa vyjadrili, že tento problém je mimo ich záujmu, Windsurf na informáciu nereagoval.

Ako ďalšie praktické scenáre útokov uvádzajú nahratie škodlivého rozšírenia, injektovanie škodlivého kódu do dokumentácie a súborov README, ktorý sa v prostrediach vykoná v rámci vykreslenia náhľadu, alebo spearphishing.

Popísaný problém môže vyústiť do útoku na dodávateľský reťazec s významným dopadom, vrátane úniku citlivých podnikových informácií, ktoré majú vývojári uložené na svojich zariadeniach.

Možné škody:

• Vykonanie ľubovoľného kódu
• Nedostupnosť aplikácie (DoS)
• Únik citlivých údajov

Odporúčania:

Jedná o problém na strane vývojárov, autori článku však odporúčajú v rámci bezpečnosti infraštruktúry mať prehľad o používaných vývojových prostrediach a monitorovať sieťovú premávku z cieľom odhaliť únik informácií.

Odkazy:

• https://www.ox.security/blog/94-Vulnerabilities-in-Cursor-and-Windsurf-Put-1-8M-Developers-at-Risk/
• https://www.bleepingcomputer.com/news/security/cursor-windsurf-ides-riddled-with-94-plus-n-day-chromium-vulnerabilities/