Vulnerabilidad en Cursor (CVE-2024-48919)

Cursor es un editor de código creado para programar con IA. Antes del 27 de septiembre de 2024, si un usuario generaba un comando de terminal a través de la función Cmd-K/Ctrl-K de la terminal de Cursor y si el usuario importaba explícitamente una página web maliciosa en el mensaje de aviso Cmd-K de la terminal, un atacante con control sobre la página web a la que se hacía referencia podía tener una posibilidad significativa de influir en un modelo de lenguaje para que generara comandos arbitrarios para su ejecución en la terminal del usuario. Este escenario requeriría que el usuario optara explícitamente por incluir el contenido de una página web comprometida y que el atacante mostrara el texto de inyección de mensajes en el contenido de la página web comprometida. El 27 de septiembre de 2024, dentro de las dos horas posteriores a que se informara el problema, se lanzó un parche del lado del servidor para no transmitir de vuelta las nuevas líneas o los caracteres de control. Además, Cursor 0.42 incluye mitigaciones del lado del cliente para evitar que cualquier nueva línea o carácter de control se transmita directamente a la terminal. También contiene una nueva configuración, `"cursor.terminal.usePreviewBox"`, que, si se establece en true, transmite la respuesta a un cuadro de vista previa cuyo contenido debe aceptarse manualmente antes de insertarse en la terminal. Esta configuración es útil si está trabajando en un entorno de shell donde los comandos se pueden ejecutar sin presionar Enter o cualquier carácter de control. El parche se ha aplicado en el lado del servidor, por lo que no se necesita ninguna acción adicional, incluso en versiones anteriores de Cursor. Por otra parte, los fabricantees de Cursor también recomiendan, como mejor práctica, incluir solo fragmentos de contexto confiables en los mensajes.