Plataforma
other
Componente
windsurf-ide
Se ha identificado una vulnerabilidad de Path Traversal en todas las versiones de Windsurf IDE. Esta falla permite a un atacante leer y escribir archivos arbitrarios, tanto dentro como fuera de los proyectos actuales, en el sistema del usuario final. La vulnerabilidad es directamente accesible y también puede ser explotada a través de la inyección indirecta de prompts, lo que representa un riesgo significativo para la seguridad de los datos.
La vulnerabilidad de Path Traversal en Windsurf IDE permite a un atacante acceder a información sensible almacenada en el sistema del usuario, incluyendo contraseñas, claves de API y otros datos confidenciales. Además, el atacante puede modificar o eliminar archivos críticos, lo que podría provocar la interrupción del servicio o la pérdida de datos. La capacidad de escribir archivos fuera del directorio del proyecto amplía significativamente el alcance del ataque, permitiendo potencialmente la ejecución de código malicioso en el sistema. La inyección indirecta de prompts complica la detección y mitigación, ya que el ataque puede ser disimulado dentro de entradas de usuario aparentemente benignas.
La vulnerabilidad CVE-2025-62353 ha sido publicada el 2025-10-17. No se ha confirmado la explotación activa en campañas conocidas, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. La naturaleza de Path Traversal, combinada con la posibilidad de inyección de prompts, sugiere que podría ser un objetivo atractivo para atacantes con diferentes niveles de habilidad. Se recomienda monitorear de cerca los sistemas que utilizan Windsurf IDE para detectar cualquier actividad sospechosa.
Users of the Windsurf IDE, particularly those who handle sensitive data or operate in environments with limited security controls, are at significant risk. Individuals using older, unpatched versions of the IDE are especially vulnerable. Shared hosting environments where multiple users share the same Windsurf IDE installation are also at increased risk, as a compromise of one user's environment could potentially impact others.
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
Dado que no se proporciona una versión corregida, la mitigación inmediata se centra en limitar el acceso al IDE y restringir los permisos de los usuarios. Implemente controles de acceso estrictos para evitar que los usuarios puedan acceder a archivos fuera del directorio del proyecto. Considere la posibilidad de utilizar un servidor proxy o una puerta de enlace de aplicaciones (WAF) para filtrar las solicitudes maliciosas que intentan acceder a archivos no autorizados. Revise y actualice las políticas de seguridad para garantizar que los usuarios estén conscientes de los riesgos asociados con la inyección de prompts y la manipulación de archivos. Una vez disponible, actualice a la versión corregida de Windsurf IDE lo antes posible.
Actualice a la última versión de Windsurf IDE tan pronto como esté disponible una versión corregida. Como medida temporal, evite abrir archivos de fuentes no confiables en el IDE y tenga precaución al interactuar con indicaciones o entradas que puedan ser manipuladas por terceros.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62353 is a critical vulnerability allowing attackers to read and write arbitrary files on a system using the Windsurf IDE. It impacts all versions (≤*).
If you are using any version of Windsurf IDE (≤*), you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of Windsurf IDE. Until then, restrict file access permissions and monitor system logs.
As of 2025-10-17, there is no confirmed active exploitation, but the severity warrants immediate action.
Please refer to the Windsurf IDE official website or security channels for the latest advisory regarding CVE-2025-62353.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.