أحدث الإصدارات من بيئات التطوير المتكاملة Cursor وWindsurf معرضة لأكثر من 94 مشكلة أمنية معروفة ومصححة في متصفح Chromium ومحرك V8 JavaScript.
ويتعرض ما يقدر بنحو 1.8 مليون مطور، وهم قاعدة المستخدمين لـ IDEs، للمخاطر.
يوضح باحثو Ox Security أن كلا بيئتي التطوير مبنيتان على برامج قديمة تتضمن إصدارات قديمة من متصفح Chromium مفتوح المصدر ومحرك Google V8.
يقولون أن Cursor وWindsurf يعتمدان على الإصدارات القديمة من VS Code التي تتضمن الإصدارات القديمة من إطار عمل Electron لبناء تطبيقات عبر الأنظمة الأساسية باستخدام تقنيات الويب (HTML، CSS، JavaScript).
“Since Electron embeds Chromium and V8, this means the IDEs rely on outdated Chromium and V8 engines, exposing them to vulnerabilities that have already been patched in newer versions,” ويقول الباحثون في أ”http://www.ox.security/blog/94-Vulnerabilities-in-Cursor-and-Windsurf-Put-1-8M-Developers-at-Risk/” الهدف=”_blank” rel=”nofollow noopener”> تقرير تمت مشاركتها مع BleepingComputer.
يقول الباحثون أن Cursor وWindsurf معرضان لما لا يقل عن 94 نقطة ضعف موجودة في إصدارات Chromium التي يستخدمونها.
على الرغم من الكشف عن المشكلة الأمنية بشكل مسؤول منذ 12 أكتوبر، إلا أن المخاطر لا تزال موجودة كما نظر المؤشر في التقرير”out of scope” ولم يستجب Windsurf.
المصدر: أوكس الأمن
مخاطر Chrome على IDE
يعد كل من Cursor وWindsurf بمثابة محرري أكواد برمجية مدعومين بالذكاء الاصطناعي ومتفرعين من Visual Studio Code. إنها تدمج نماذج اللغات الكبيرة (LLMs) لمساعدة المطورين على كتابة البرامج بسهولة وسرعة أكبر.
يتم توزيعها كتطبيقات Electron، مما يعني وقت تشغيل التطبيق الذي يحزم إصدارًا محددًا من Chromium لعرض محتوى الويب، ويتضمن محرك V8 JavaScript للمتصفح في الملف الثنائي.
يقوم إصدار Electron المحدد بتثبيت إصدار Chromium + V8، وإذا لم يقم البائع بترقيته، فإن العيوب التي تم إصلاحها في كل إصدار لاحق تصبح مخاطر قابلة للاستغلال في IDE.
أوضحت Ox Security أنه من الممكن استغلال التجاوز الصحيح لـ Maglev JIT الموضح في CVE-2025-7656 من خلال رابط عميق، والذي ينفذ المؤشر ويحقن متصفحه لزيارة عنوان URL بعيد يستضيف حمولة استغلال.
تخدم الصفحة البعيدة JavaScript الذي يؤدي إلى استغلال CVE-2025-7656، مما يتسبب في رفض الخدمة عن طريق تعطل العارض.
أظهر Nir Zadok وMoshe Siman Tov Bustan من Ox Security النتائج التي توصلوا إليها من خلال استهداف Cursor IDE من خلال استغلال CVE-2025-7656، وهي ثغرة أمنية لتجاوز عدد صحيح في محرك Google Chrome V8″https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-sandbox-escape-zero-day-in-chrome/” الهدف=”_blank” rel=”nofollow noopener”>ثابتفي 15 يوليو.
تسببت ثغرة إثبات المفهوم في دخول المؤشر في حالة رفض الخدمة (التعطل)، كما هو موضح في الفيديو أدناه:
ومع ذلك، تشير Ox Security إلى أن تنفيذ التعليمات البرمجية التعسفية ممكن أيضًا في الهجمات الواقعية.
سيكون لدى الخصم خيارات متعددة لإثارة الثغرة الأمنية. ويقول الباحثون إن المهاجم يمكن أن يستخدم امتدادًا ضارًا لتفعيل الاستغلال أو إدخال كود الاستغلال في الوثائق والبرامج التعليمية.
يمكن أن يعتمد المتسللون أيضًا على هجمات التصيد الاحتيالي الكلاسيكية أو الاستفادة من المستودعات المسمومة عن طريق زرع تعليمات برمجية ضارة في ملفات README التي تتم معاينتها في IDE.
المصدر: أوكس الأمن
تشير Ox Security إلى أن هذا الاستغلال لا يعمل على أحدث إصدار من VS Code، والذي يتم تحديثه بانتظام ويعالج جميع الأخطاء المعروفة.
عند تلقي ثغرة إثبات المفهوم، رفض Cursor التقرير بالقول إن DoS المتسبب ذاتيًا خارج النطاق.
لكن الباحثين لاحظوا أن هذا الموقف يتجاهل إمكانات الاستغلال الأكثر خطورة للخلل، بما في ذلك البدائيات التي تسبب تلف الذاكرة، أو حتى المجموعة الأوسع من التهديدات الخطيرة غير المصحّحة في تطبيقات Electron المستخدمة.
“Since their last Chromium update on 2025-03-21 for version 0.47.9 since Chromium 132.0.6834.210 was out, at least 94 known CVEs have been published. We’ve weaponized just one. The attack surface is massive,” يشرح Ox Security.
اتصلت BleepingComputer بكل من Cursor وWindsurf لطلب التعليق على تقرير Ox Security، لكننا لم نسمع أي رد حتى وقت النشر.