AI支援型コードエディタとして発展を見せる「Cursor」に、遠隔コード実行を可能にする脆弱性が発見され、修正パッチが提供されました。脆弱性は「CVE-2025-54135」「CVE-2025-54136」として追跡されており、いずれもMulti-Context Prompting (MCP) 機能を悪用したものです。
対策
指摘されている複数の脆弱性を反映して、Cursorは以下の対策を行いました。
- MCP関連ファイルの作成に対して、承認なしの設定書き込みを禁止
- MCPサーバーの設定が変更された場合、毎回再承認を要求
Cursorのユーザーは、早急に最新バージョン (v1.3.9) へのアップデートを実施することが推奨されます。
CVE-2025-54135: プロンプト採用の鏡となるRCE
Cursor Agentが「.cursor/mcp.json」などのMCPコンフィグファイルを作成する際に、異常が発生していました。存在しない場合は利用者の承認なしに作成されるため、次のようなアタックチェーンが可能となります。
- AIエージェントを通じて悪意的なプロンプトを注入
- 悪意のMCPサーバーを指定した設定ファイルを作成
- ローカル機上でコードが実行される
影響を受けるバージョンはv1.2.1まで。対策正の抽出はv1.3.9にて完了しています。
CVE-2025-54136: MCPサーバーの信頼悪用
もう一つの脆弱性は、MCPサーバーの信頼機能に関わるもので、GitHubなどの共同リポジトリ上でユーザが一度認可した無害なMCPサーバーを、他のコラボレーターが悪意的なものにすり替えることが可能となっていたことによるものです。
これにより、コードベースに常駐的なバックドアを作成することも可能でした。この脆弱性は特にエンタープライズ環境や開発チームにとって大きな脅威となります。








