Cursor și Windsurf-IDE-uri pline de peste 94 de vulnerabilități „n-day” în Chromium
Sursă: https://www.bleepingcomputer.com/
Ultimele versiuni ale mediilor de dezvoltare integrate (IDE) Cursor și Windsurf sunt vulnerabile la peste 94 de probleme de securitate cunoscute și deja remediate în browserul Chromium și în motorul JavaScript V8.
Cercetătorii de la compania Ox Security explică faptul că ambele IDE-uri sunt construite pe software vechi, care include versiuni depășite ale browserului open-source Chromium și ale motorului V8. Ele se bazează pe versiuni mai vechi de VS Code care utilizează cadrul Electron (pentru aplicații cross-platform), iar Electron „înglobează” Chromium și V8, ceea ce înseamnă că IDE-urile moștenesc vulnerabilitățile deja remediate în versiunile mai noi.
Cercetătorii spun că pot exploata, de exemplu, vulnerabilitatea CVE-2025-7656 (integer overflow) printr-un „deeplink”, care ar rula cod ce poate duce la blocarea (crash) a editorului sau, în scenarii mai grave, la execuție arbitrară de cod. În testele demonstrative, au forțat Cursor să intre într-o stare de „denial of service” (blocare) prin intermediul unei astfel de exploatări.
Interesant este că exploit-ul demonstrat nu funcționează pe versiunea curentă a VS Code, deoarece acesta este actualizat în mod regulat și include remediile pentru problemele cunoscute. Totuși, Cursor a respins raportul afirmând că blocarea „self-inflicted” (auto-provocată) este „în afara scopului” (out of scope). Ox Security critică această abordare, argumentând că riscurile pot fi mult mai mari, incluzând posibilitatea exploatării memoriei și alte vulnerabilități neraportate.
De la ultima actualizare Chromium folosită de Cursor (versiunea 0.47.9, care utiliza Chromium 132.0.6834.210, actualizată la 21 martie 2025), cel puțin 94 de vulnerabilități au fost raportate în Chromium. Până la momentul publicării raportului, Cursor nu a aplicat remediile iar Windsurf nu a oferit niciun răspuns.
