Cursor și Windsurf, două medii de dezvoltare folosite de aproximativ 1, 8 milioane de programatori, se bazează pe versiuni învechite ale browserului Chromium și ale motorului V8 și conțin cel puțin 94 de vulnerabilități deja remediate în versiunile mai noi. Istoria proiectelor software arată că aplicațiile construite pe straturi vechi de tehnologie, browsere sau framework-uri, pot păstra probleme nerezolvate ani de zile, astfel surpizele neplăcute nu sunt neobișnuite pentru profesioniști.
Cercetătorii Ox Security explică că ambele IDE-uri sunt practic versiuni modificate ale Visual Studio Code și rulează ca aplicații Electron, adică includ o versiune fixă de Chromium și V8 pentru redare web. Astfel, dacă dezvoltatorii nu actualizează Electron, chiar și bug-urile corectate ulterior în Chromium rămân exploatabile. Echipa Ox a identificat cel puțin 94 de vulnerabilități cunoscute în build-urile Chromium folosite de Cursor și Windsurf și a transformat una dintre ele într-un proof-of-concept.
Vulnerabilitatea demonstrată este un overflow integer din JIT-ul Maglev al motorului V8, catalogată CVE-2025-7656 și remediată în Chrome la 15 iulie. Ox Security a arătat că un deeplink poate lansa Cursor; comanda transmisă mediului încorporat deschide o pagină remote care livrează un payload JavaScript ce declanșează bug-ul, provocând crash-ul rendererului și, prin urmare, un denial of service al IDE-ului. Videoclipurile demonstrative ilustrează exact acest scenariu: Cursor intră în stare de DoS după rularea exploitului. Cercetătorii avertizează însă că, pe lângă blocare, în atacuri reale s-ar putea obține primitive de corupere a memoriei și, eventual, execuție arbitrară de cod.
Modalitățile de declanșare a unor astfel de exploatări sunt multiple și banale: o extensie malițioasă, documentație sau tutoriale infectate, fișiere README dintr-un repository compromis previzualizate în IDE sau campanii de phishing care atrag dezvoltatorul către pagini capcană. Ox Security subliniază că exploitul lor nu funcționează pe ultima versiune oficială de VS Code, tocmai pentru că acel produs este actualizat frecvent și include corecțiile necesare. Problema apare când fork-uri precum Cursor sau Windsurf rămân la versiuni Electron vechi; Ox notează că Cursor nu a făcut update-uri de Chromium din 21 martie 2025 pentru versiunea 0.47.9, iar de atunci au apărut cel puțin 94 de CVE-uri publicate.
La trimiterea raportului, Cursor a catalogat demonstrația de tip self-inflicted DoS drept out of scope, iar Windsurf nu a răspuns solicitărilor de comentarii. Ox Security consideră că respingerea raportului minimalizează riscurile mai grave, nu doar blocarea aplicației, în special posibilitatea exploatării memoriei și a celorlalte CVE-uri nepatchuite din Electron. Publicația tehnică contactată pentru verificare nu primise răspuns de la dezvoltatori până la publicare.
Ox Security a furnizat detalii tehnice și o demonstrație pentru CVE-2025-7656, arătând atât cum se ajunge la DoS, cât și cum aceiași vectori pot conduce la atacuri mai avansate. Practic, aplicațiile distribuite ca Electron bundling păstrează o versiune fixă de Chromium și V8, iar menținerea securității cere actualizări regulate ale acelui layer. Pentru organizații și dezvoltatori, riscul real nu este doar că un editor se blochează, ci că mediul de dezvoltare poate deveni o poartă pentru atacuri asupra codului, dependențelor și datelor sensibile.
Exemplul Cursor/Windsurf evidențiază o problemă structurală: fork-urile populare de VS Code pot atrage rapid mulți utilizatori, dar pot rămâne în urmă la capitolul mentenanță de securitate. Cifrele sunt clare: aproximativ 1, 8 milioane de utilizatori pot fi expuși, iar cel puțin 94 de CVE-uri erau aplicabile pe build-urile folosite. Detaliile tehnice oferite de Ox Security, numele vulnerabilității CVE-2025-7656, data remedierii în Chrome, metoda deeplink + payload JS, versiunea Electron/Chromium menționată (update din 2025-03-21 pentru 0.47.9 legată de Chromium 132.0.6834.210), oferă puncte concrete pentru audit și remediere.
Faptul că Cursor a considerat semnalarea out of scope și că Windsurf nu a răspuns ridică semne de întrebare privind responsabilitatea menținerii securității în proiectele care împachetează tehnologii terțe. Actualizările regulate ale platformelor, verificările pentru dependențe și o politică clară de gestionare a vulnerabilităților sunt măsuri practice pentru a evita ca un editor folosit zilnic de dezvoltatori să devină o verigă vulnerabilă în lanțul de producție software.
CVE-2025-7656 este un exemplu concret al riscului când Electron rămâne neactualizat. Actualizarea componentelor critice, monitorizarea CVE-urilor aplicabile și tratarea rapoartelor cu seriozitate sunt pași esențiali pentru orice proiect care vrea să rămână sigur pentru utilizatori. Ce părere ai despre responsabilitatea dezvoltatorilor care mențin fork-uri populare precum Cursor sau Windsurf: ar trebui impuse standarde minime de securitate pentru astfel de proiecte?
Fii primul care comentează