Μια ευπάθεια ελέγχου πρόσβασης υψηλής σοβαρότητας (CVSS 8.2) στο Cursor, ένα ευρέως χρησιμοποιούμενο περιβάλλον κωδικοποίησης που τροφοδοτείται από AI.
Το ελάττωμα που αποκαλύφθηκε από το LayerX επέτρεψε σε οποιαδήποτε εγκατεστημένη επέκταση να έχει κρυφή πρόσβαση στα κλειδιά API και στα διακριτικά περιόδου λειτουργίας ενός προγραμματιστή.
Αυτό οδηγεί σε πλήρη παραβίαση διαπιστευτηρίων χωρίς να ενεργοποιούνται ειδοποιήσεις ή να απαιτείται αλληλεπίδραση με τον χρήστη.
Σε αντίθεση με τις ασφαλείς εφαρμογές που αποθηκεύουν ευαίσθητα μυστικά σε προστατευμένες αλυσίδες κλειδιών λειτουργικού συστήματος, ο Δρομέας αποθηκεύει αυτά τα διαπιστευτήρια σε μια μη προστατευμένη, τοπική βάση δεδομένων SQLite.
Η βάση δεδομένων βρίσκεται στη διεύθυνση ~/Library/Application Support/Cursor/User/globalStorage/state.vscdb.
Επειδή ο Δρομέας δεν έχει όρια ελέγχου πρόσβασης μεταξύ των επεκτάσεών του και αυτής της βάσης δεδομένων, οποιαδήποτε εγκατεστημένη επέκταση μπορεί να διαβάσει το αρχείο.
Δεν απαιτούνται ειδικά προνόμια, πράγμα που σημαίνει ότι οποιοδήποτε αδίστακτο πρόσθετο μπορεί να εξαγάγει τα δεδομένα απλού κειμένου που είναι αποθηκευμένα μέσα.
Η διαδικασία εκμετάλλευσης είναι απλή και απαιτεί χαμηλή πολυπλοκότητα επίθεσης. Ένα ρεαλιστικό σενάριο επίθεσης περιλαμβάνει τα ακόλουθα βήματα:
- Ένας εισβολέας δημοσιεύει μια επέκταση με κανονική εμφάνιση, όπως ένα προσαρμοσμένο θέμα ή ένα εργαλείο παραγωγικότητας.
- Ένας προγραμματιστής εγκαθιστά την επέκταση χωρίς να λαμβάνει προειδοποιήσεις άδειας σχετικά με την πρόσβαση στα διαπιστευτήρια.
- Η κακόβουλη επέκταση υποβάλλει αθόρυβα ερωτήματα στην τοπική βάση δεδομένων SQLite για να βρει κλειδιά API και διακριτικά περιόδου λειτουργίας.
- Τα κλεμμένα δεδομένα αποστέλλονται σιωπηλά σε έναν απομακρυσμένο διακομιστή που ανήκει στον εισβολέα χωρίς ορατές αλλαγές στη διεπαφή χρήστη.
Δεδομένου ότι πολλοί προγραμματιστές χρησιμοποιούν υπηρεσίες τεχνητής νοημοσύνης τρίτου μέρους εντός του Cursor, οι συνέπειες από αυτήν την ευπάθεια μπορεί να είναι σοβαρές.
Τα κλεμμένα διαπιστευτήρια δημιουργούν μια άμεση διαδρομή στους ακόλουθους κινδύνους:
- Συνολική έκθεση των διακριτικών συνεδρίας και πρόσβαση στην υπηρεσία υποστήριξης.
- Παραβίαση συνδεδεμένων λογαριασμών AI όπως OpenAI, Google ή Anthropic.
- Τεράστιες οικονομικές απώλειες εάν οι εισβολείς συγκεντρώσουν αυτοματοποιημένες χρεώσεις χρήσης σε κλεμμένα κλειδιά API.
- Μη εξουσιοδοτημένη πρόσβαση σε ιδιωτικά δεδομένα, προηγούμενα μηνύματα συνομιλίας και ευαίσθητα μεταδεδομένα κώδικα.
Απόκριση και κατάσταση προμηθευτή
Το LayerX ανέφερε αρχικά αυτό το ζήτημα στον Δρομέα την 1η Φεβρουαρίου 2026. Η ομάδα ασφαλείας του Κέρσορα αναγνώρισε την αναφορά στις 5 Φεβρουαρίου.
Ωστόσο, ανέφερε ότι οι επεκτάσεις λειτουργούν εντός του ίδιου ορίου τοπικής εμπιστοσύνης με τον χρήστη.
Υποστήριξαν ότι οποιαδήποτε τοπική εφαρμογή με πρόσβαση στο σύστημα αρχείων θα μπορούσε ενδεχομένως να διαβάσει αυτά τα δεδομένα.
Από τις 28 Απριλίου 2026, η ευπάθεια παραμένει αδιόρθωτη. Ο προμηθευτής υποστηρίζει ότι είναι ευθύνη του χρήστη μόνο να εγκαταστήσει αξιόπιστες επεκτάσεις.
Για τη σωστή προστασία των δεδομένων χρήστη, οι ειδικοί σε θέματα ασφάλειας συμβουλεύουν θερμά τον Cursor να εφαρμόσει αυστηρά όρια απομόνωσης μεταξύ των επεκτάσεων.
Τα ευαίσθητα διαπιστευτήρια πρέπει να μετακινηθούν σε κρυπτογραφημένο χώρο αποθήκευσης σε επίπεδο συστήματος, όπως το Windows Credential Manager ή macOS Keychain.
Μέχρι να κυκλοφορήσει μια δομική επιδιόρθωση, οι προγραμματιστές θα πρέπει να ελέγχουν αυστηρά τις εγκατεστημένες επεκτάσεις τους και να αποφεύγουν τη λήψη μη επαληθευμένων εργαλείων από την αγορά.
VIA: cybersecuritynews.com
