Các nhà nghiên cứu an ninh mạng đã phát hiện một lỗ hổng nghiêm trọng trong Cursor IDE, cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý thông qua cơ chế bỏ qua tin cậy tinh vi. Điều này có nguy cơ xâm phạm các máy trạm của nhà phát triển trong môi trường cộng tác mã hóa.

CVE-2025-54136 và Cơ chế Khai thác

Check Point Research đã công bố lỗ hổng CVE này, được gán mã CVE-2025-54136 và đặt tên là “MCPoison”. Lỗ hổng này khai thác hệ thống tin cậy của Giao thức Ngữ cảnh Mô hình (Model Context Protocol – MCP) của Cursor IDE để đạt được khả năng remote code execution kéo dài.

Cuộc tấn công lợi dụng việc IDE tự động xử lý các tệp cấu hình không gian làm việc để thiết lập quyền truy cập trái phép dài hạn vào máy của nhà phát triển.

Cơ chế Bỏ qua Tin cậy của MCP

Trọng tâm của lỗ hổng CVE nằm ở cách Cursor xử lý các tệp cấu hình MCP được lưu trữ trong thư mục .cursor/rules/mcp.json. Các tệp này định nghĩa các công cụ và quy trình tự động hóa dành riêng cho dự án, được thực thi cục bộ khi dự án được mở.

Mặc dù Cursor triển khai hệ thống phê duyệt một lần cho các cấu hình MCP mới, nhưng các nhà nghiên cứu đã phát hiện ra rằng những sửa đổi tiếp theo đối với các cấu hình đã được phê duyệt sẽ bỏ qua hoàn toàn việc xác thực bảo mật.

Kịch bản Tấn công MCPoison

Cuộc tấn công MCPoison tuân theo một quy trình ba giai đoạn đơn giản một cách lừa dối, khai thác các quy trình làm việc phát triển hợp tác.

Giai đoạn 1: Cam kết Cấu hình Vô hại

Ban đầu, kẻ tấn công đưa các tệp cấu hình MCP lành tính chứa các lệnh vô hại, chẳng hạn như các câu lệnh echo cơ bản, vào các kho lưu trữ chia sẻ. Điều này chuẩn bị cho giai đoạn tiếp theo của cuộc tấn công.

Giai đoạn 2: Lấy Phê duyệt từ Nạn nhân

Khi nạn nhân mở dự án trong Cursor, họ sẽ gặp lời nhắc phê duyệt cho cấu hình dường như vô hại và cấp quyền. Sự kiện này là điểm khởi đầu cho việc khai thác lỗ hổng bảo mật.

Giai đoạn 3: Thực thi Payload Độc hại

Sau khi có được phê duyệt, kẻ tấn công có thể sửa đổi cùng một mục MCP để thực thi các payload độc hại, bao gồm reverse shell và các lệnh hệ thống tùy ý. Các sửa đổi này được thực thi âm thầm mà không kích hoạt các lời nhắc phê duyệt mới, vì hệ thống tin cậy của Cursor ràng buộc sự phê duyệt với tên MCP thay vì xác thực nội dung cấu hình.

Cơ chế dai dẳng của cuộc tấn công đảm bảo rằng các lệnh độc hại sẽ tự động thực thi mỗi khi nạn nhân mở Cursor hoặc đồng bộ hóa các thay đổi kho lưu trữ. Điều này tạo ra một cửa hậu đáng tin cậy hoạt động mà không cần tương tác của người dùng sau lần phê duyệt ban đầu, khiến nó đặc biệt nguy hiểm trong môi trường nhóm nơi các nhà phát triển thường xuyên đồng bộ hóa các codebase được chia sẻ.

Rủi ro và Ảnh hưởng

Lỗ hổng CVE-2025-54136 này gây ra rủi ro đáng kể cho các nhóm phát triển và tổ chức dựa vào Cursor cho các quy trình làm việc mã hóa được hỗ trợ bởi AI.

Kẻ tấn công có quyền ghi vào các kho lưu trữ chia sẻ có thể thiết lập quyền truy cập từ xa liên tục, thực thi các lệnh tùy ý trong ngữ cảnh người dùng và có khả năng leo thang đặc quyền trên các máy của nhà phát triển chứa thông tin xác thực đám mây hoặc mã nguồn nhạy cảm.

Bề mặt tấn công mở rộng vượt ra ngoài các máy trạm cá nhân đến toàn bộ cơ sở hạ tầng phát triển, vì các máy nhà phát triển bị xâm phạm thường đóng vai trò là bước đệm cho việc thâm nhập mạng rộng hơn. Bản chất âm thầm của việc thực thi lệnh sau phê duyệt khiến việc phát hiện trở nên khó khăn, có khả năng cho phép truy cập liên tục trong thời gian dài.

Giải pháp Khắc phục và Khuyến nghị

Check Point Research đã công bố lỗ hổng bảo mật này một cách có trách nhiệm cho đội ngũ phát triển của Cursor vào ngày 16 tháng 7 năm 2025.

Công ty đã phát hành phiên bản 1.3 vào ngày 29 tháng 7 năm 2025, khắc phục lỗi bảo mật bằng cách yêu cầu lời nhắc phê duyệt bắt buộc đối với bất kỳ thay đổi cấu hình MCP nào, bao gồm cả những sửa đổi nhỏ. Thử nghiệm độc lập xác nhận rằng phiên bản cập nhật này giảm thiểu hiệu quả lỗ hổng CVE bằng cách xác thực tính toàn vẹn của cấu hình thay vì chỉ dựa vào sự tin cậy dựa trên tên.

Khuyến nghị Cập nhật

Các chuyên gia bảo mật khuyến nghị cập nhật ngay lập tức lên phiên bản Cursor mới nhất để ngăn chặn việc khai thác lỗ hổng CVE này trong môi trường phát triển. Việc triển khai bản vá bảo mật này là rất quan trọng để bảo vệ các hệ thống.

Để biết thêm chi tiết kỹ thuật về phát hiện và khai thác, độc giả có thể tham khảo báo cáo gốc của Check Point Research tại: Check Point Research: Cursor IDE MCPoison Vulnerability