https://thehackernews.com/2025/08/cursor-ai-code-editor-fixed-flaw.htmlhttps://thehackernews.com/2025/08/cursor-ai-code-editor-fixed-flaw.html
| CVE ID | 설명 | 영향 | 버전 | 패치 버전 |
| CVE-2025-54135 | MCP 특수 파일(.cursor/mcp.json)을 통한 프롬프트 인젝션, 임의 코드 실행 | 승인 없이 악성 파일 생성 → RCE(원격 코드 실행) | 1.2.1 이하 | 1.3.9 |
| CVE-2025-54136 | 신뢰된 MCP 구성 파일 변경을 통한 임의 코드 실행 | 컨텍스트 하이재킹 및 설정 변조 → 악성 코드 실행 | 1.2.4 미만 | 1.3 |
1. CVE-2025-54135
(1) 취약점 동작방식
- 사용자 MCP 호출
- 사용자가 Cursor IDE에서 외부 MCP 서버로 요청(MCP Call)을 보냄
- MCP 서버가 프롬프트 인젝션 반환
- MCP 서버가 악성 또는 조작된 프롬프트를 응답으로 전송.
- Cursor IDE, 로컬 Agent 활용해 설정 파일 생성
- 반환된 프롬프트가 Cursor의 Agent에 의해 .cursor/mcp.json(MCP 구성 파일)로 작성됨.
- 기존에 해당 파일이 없을 경우, 사용자 승인 없이 파일이 새롭게 생성됨.
- 로컬 MCP 서버 통해 임의 명령 실행
- Cursor IDE가 mcp.json의 구성에 따라 로컬 MCP 서버에 임의 명령을 전달하여 실행
- 결과적으로, 악성 명령이 피해자의 시스템에서 즉시 실행(RCE)되어 외부 리소스(인터넷 등)까지 접근할 수 있게 됨
(2) 취약정 악용사례
- Cursor AI Code Editor Fixed Flaw Allowing Attackers to Run Commands via Prompt Injection - 공격자가 Slack, GitHub 등 외부 MCP 서버에 악의적 프롬프트를 삽입하여 'rm -rf ~/work', reverse shell 등 임의 명령의 자동 실행을 유도하는 실제 사례가 보고됨
(3) POC코드
2. CVE-2025-54136
(1) 취약점 동작 방식
- 초기 MCP 구성 승인
- 피해 사용자가 협업 저장소나 프로젝트 내에 있는 무해한 MCP 구성 파일(.cursor/rules/mcp.json)을 처음 열고, MCP 설정을 승인함.
- 공격자의 MCP 구성 파일 악성 변경
- 공격자가 승인된 MCP 파일을 악성 명령(예: 원격 셸, 데이터 유출 명령 등)이 포함된 내용으로 은밀히 교체함.
- Cursor IDE에서 MCP 설정 자동 재실행
- Cursor는 한 번 승인된 MCP 구성에 대해 이후 변경 시에도 사용자 재승인 없이 자동으로 명령을 실행함.
- 지속적인 원격 코드 실행 발생
- 악성 MCP 설정이 자동 실행되어 피해자의 개발 환경 내에서 지속적이고 영구적으로 원격 코드 실행(RCE)이 발생함
(2)취약정 악용사례
Cursor AI Code Editor Vulnerability Enables RCE via Malicious MCP File Swaps Post Approval -
출처:
https://thehackernews.com/2025/08/cursor-ai-code-editor-vulnerability.html
https://thehackernews.com/2025/08/cursor-ai-code-editor-fixed-flaw.html
https://nsfocusglobal.com/cursor-remote-code-execution-vulnerability-cve-2025-54135/