Plataforma
vscode
Componente
cursor
Corrigido em
0.45.1
O CVE-2025-32018 representa uma vulnerabilidade de Acesso Arbitrário a Arquivos no Cursor, um editor de código com inteligência artificial. Essa falha, presente nas versões de 0.45.0 até 0.48.6, permite que o agente do Cursor seja induzido a modificar arquivos fora do espaço de trabalho aberto, embora a exploração bem-sucedida seja considerada impraticável em cenários reais. A versão corrigida é a 0.48.7.
A vulnerabilidade permite que um atacante, sob condições específicas e com prompts deliberados, force o Cursor Agent a escrever em arquivos fora do diretório de trabalho do usuário. Embora a descrição indique que a exploração direta é difícil, o potencial de acesso não autorizado a dados sensíveis, dependendo da configuração do sistema e dos arquivos acessíveis, é significativo. Um atacante poderia, por exemplo, modificar arquivos de configuração de outros aplicativos ou até mesmo injetar código malicioso em arquivos executáveis, comprometendo a integridade do sistema. A mitigação imediata é crucial para evitar exploração, especialmente em ambientes onde o Cursor é usado para editar código crítico ou acessar informações confidenciais.
Atualmente, não há relatos de exploração ativa do CVE-2025-32018. A vulnerabilidade foi divulgada em 8 de abril de 2025. A descrição da vulnerabilidade indica que a exploração é considerada impraticável em cenários reais, o que pode limitar o interesse de atacantes. Não foi adicionado ao KEV (CISA Known Exploited Vulnerabilities) até o momento.
Developers using Cursor, particularly those working with sensitive code or configuration files, are at risk. Users who rely on the Cursor Agent for automated tasks or code generation are also potentially vulnerable. Shared development environments or workspaces could amplify the impact if one user's account is compromised.
• vscode / supply-chain: Examine Cursor extension settings for unusual file access permissions. Check for suspicious modifications to workspace configuration files. • generic web: Monitor Cursor Agent logs for unexpected file write operations. Review user activity for prompts that might trigger the vulnerability.
Get-Process -Name Cursor | Select-Object -ExpandProperty Pathdisclosure
Status do Exploit
EPSS
0.22% (percentil 44%)
CISA SSVC
Vetor CVSS
A correção oficial para o CVE-2025-32018 é a atualização para a versão 0.48.7 do Cursor. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir as permissões do Cursor Agent, limitando os diretórios aos quais ele pode acessar. Implemente regras em um Web Application Firewall (WAF) ou proxy para monitorar e bloquear solicitações suspeitas que tentem acessar arquivos fora do espaço de trabalho. Verifique regularmente os logs do Cursor em busca de atividades anormais, como tentativas de acesso a arquivos inesperados. Após a atualização, confirme a correção verificando se o Cursor Agent não consegue mais acessar arquivos fora do diretório de trabalho.
Actualice Cursor a la versión 0.48.7 o superior. Esta versión corrige la vulnerabilidad de escritura arbitraria de archivos. La actualización se puede realizar a través de la interfaz de la aplicación o descargando la última versión desde el sitio web oficial.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-32018 is a HIGH severity vulnerability in Cursor versions 0.45.0 through 0.48.6 that allows unauthorized file modification within the workspace via crafted prompts.
You are affected if you are using Cursor versions 0.45.0 through 0.48.6. Upgrade to version 0.48.7 or later to resolve the issue.
Upgrade to Cursor version 0.48.7 or later. As a temporary workaround, exercise caution when using the Cursor Agent and restrict its access to sensitive files.
Currently, there are no known public exploits or confirmed active exploitation campaigns targeting CVE-2025-32018.
Refer to the official Cursor security advisory for detailed information and updates: [https://cursor.sh/security](https://cursor.sh/security)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.