Elavult alapokon nyugvó fejlesztői eszközök
A Cursor és a Windsurf fejlesztői eszközök elavult, nyílt forráskódú Chromium böngészőt és Google V8 motort tartalmaznak. Mindkét IDE a Visual Studio Code korábbi verzióira épül, amelyek régi Electron keretrendszert használnak. Az Electron az aktuális Chromium-verziót és a hozzá tartozó V8 motort egy csomagban szállítja, így ha nem frissítik rendszeresen, a régi hibák sérülékennyé teszik az alkalmazást.
Javítatlan hibák kapuja a támadóknak
A kutatók azt is bemutatták, hogy a CVE-2025-7656 néven ismert Maglev JIT túlcsordulásos sebezhetőség hogyan használható ki. Egy deeplink segítségével elindítják a Cursor alkalmazást, amely egy exploitot tartalmazó weboldalt nyit meg. Ez a támadás JavaScript-kódot futtat, ami a rendszer összeomlását, szolgáltatásmegtagadást (DoS) idézhet elő, de valós környezetben kódfuttatást is lehetővé tehet.
Egyszerű támadási lehetőségek fejlesztők ellen
A támadók különböző módszerekkel is kihasználhatják a sérülékenységeket: fertőzött böngészőbővítményeket kínálnak, dokumentációban vagy oktatóanyagokban rejtik el az exploit kódot, adathalász támadásokkal vagy rosszindulatú README fájlokkal operálnak.
Késleltetett reagálás és veszélyes hozzáállás
A Cursor a bejelentett sebezhetőséget kívülállónak minősítette, a Windsurf pedig nem is válaszolt. Ráadásul a kutatók rámutattak, hogy 2025. március 21. óta legalább 94 nyilvános CVE jelent meg, miközben csak egyet teszteltek le: ez is bőven elegendő a masszív támadási felülethez. Ezzel szemben a frissített Visual Studio Code rendszeresen javítja ezeket a hibákat, és nem érintett. Az elavult Electron-alapú IDE-k viszont komoly támadási célponttá váltak.
