人工智能驅(qū)動(dòng)的代碼編輯器Cursor近日修復(fù)了兩個(gè)高危漏洞，攻擊者可利用這些漏洞在無需用戶交互的情況下實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE）。這兩個(gè)漏洞編號(hào)為CVE-2025-54135和CVE-2025-54136，均涉及MCP（Multi-Context Prompting，多上下文提示）配置文件——這是控制工作區(qū)AI助手行為的強(qiáng)大機(jī)制。

CVE-2025-54135（CVSS評(píng)分8.6）：從提示注入到RCE的攻擊鏈

第一個(gè)漏洞源于Cursor代理處理提示生成文件寫入的方式。如果類似.cursor/mcp.json的文件不存在，代理可以在未經(jīng)用戶同意的情況下創(chuàng)建它。這形成了危險(xiǎn)的攻擊鏈：

• 第一步：注入惡意提示欺騙AI代理
• 第二步：代理創(chuàng)建敏感的MCP配置文件
• 第三步：該文件被配置為加載惡意MCP服務(wù)器

最終導(dǎo)致代碼在受害者機(jī)器上靜默執(zhí)行。安全公告警告稱："這可能允許代理在主機(jī)上寫入敏感的MCP文件...并用于直接執(zhí)行代碼。"該漏洞影響Cursor 1.2.1及更早版本，已在1.3.9版本中修復(fù)。

CVE-2025-54136（CVSS評(píng)分7.2）：MCP信任繞過實(shí)現(xiàn)持久化RCE

第二個(gè)漏洞是MCP服務(wù)器配置中的信任濫用漏洞。一旦用戶在共享的GitHub倉庫中批準(zhǔn)了MCP服務(wù)器，任何具有寫入權(quán)限的人都可以靜默地將服務(wù)器替換為惡意服務(wù)器，且無需重新批準(zhǔn)。

安全公告指出："一旦協(xié)作者接受了無害的MCP，攻擊者就可以靜默地將其替換為惡意命令（例如calc.exe），而不會(huì)觸發(fā)任何警告或重新提示。"這為協(xié)作代碼庫中的隱蔽、持久后門打開了大門，對(duì)企業(yè)團(tuán)隊(duì)和開源團(tuán)隊(duì)尤其危險(xiǎn)。

公告進(jìn)一步說明："如果攻擊者擁有用戶活動(dòng)分支的寫入權(quán)限...攻擊者可以實(shí)現(xiàn)任意代碼執(zhí)行。"作為緩解措施，更新后的代理現(xiàn)在會(huì)在每次修改mcpServer條目時(shí)（而不僅僅是初次添加時(shí)）要求重新批準(zhǔn)。