Check Point warnt vor einer inzwischen beseitigten MCP-Schwachstelle in der Cursor-IDE, über die Angreifer beliebigen Code auf dem Rechner eines Opfers ausführen können. Die Lücke spielt insbesondere in Mehrbenutzerumgebungen und Repositories eine Rolle.
Bei der von den Sicherheitsanalysten MCPoison getauften, das Model Contex Protokol betreffenden Schwachstelle nutzen Angreifer eine nachlässige Prüfung von Berechtigungen aus, da sich Cursor jede MCP-Anbindung nur einmal genehmigen lässt und dann nie wieder. Täter können die entsprechende Konfiguration im Nachhinein jedoch ändern und auf beliebige Befehle und andere Quellen umleiten. Speziell, wenn mehrere Nutzer Zugriff auf die Konfiguration haben, zum Beispiel in einem gemeinsamen Repository, ist das Risiko erhöht.
Cursor IDE speichert die MCP-Konfiguration in der Datei .cursor/rules/mcp.json wie beispielsweise in der folgenden Abbildung:
(Bild: Check Point)
Wenn diese in einem Repository liegt, kann ein Angreifer leicht eine neue MCP-Quelle mit einem harmlosen Kommando hinzufügen. Beim nächsten Start bittet die IDE das Opfer einmalig, die harmlose Quelle zu bestätigen. Ist das erfolgt, kann der Angreifer das JSON beliebig anpassen, etwas wie in folgendem Bild:
(Bild: Check Point)
Bei jedem Start führt Cursor den neuen Code ungefragt aus, die Prüfung erfolgt nur über den im Skript eingetragenen Namen des Servers.
Cursor hat die Schwachstelle am 29. Juli mit Version 1.3 behoben, Anwenderinnen und Anwender sollten auf diese Version updaten. Check Point empfiehlt prinzipiell, Konfigurationsdateien in Repositories zu versionieren und zu überwachen. Außerdem sollten Schreibrechte eingeschränkt sein.
(Bild: Titima Ongkantong/Shutterstock)
Am 30. September und 1. Oktober findet die heise devSec 2025 in Regensburg statt. Auf der von iX, heise Security und dpunkt.verlag ausgerichteten Konferenz stehen in Themen wie Threat Modeling, Software Supply Chain, OAuth, ASPM, Kubernetes und der Einfluss von GenAI auf Security im Programm.