MCPoison: Schwachstelle in Cursor IDE – beliebigen Code über MCP ausführen

Check Point warnt vor einer inzwischen beseitigten MCP-Schwachstelle in der Cursor-IDE, über die Angreifer beliebigen Code auf dem Rechner eines Opfers ausführen können. Die Lücke spielt insbesondere in Mehrbenutzerumgebungen und Repositories eine Rolle.

Bei der von den Sicherheitsanalysten MCPoison getauften, das Model Contex Protokol betreffenden Schwachstelle nutzen Angreifer eine nachlässige Prüfung von Berechtigungen aus, da sich Cursor jede MCP-Anbindung nur einmal genehmigen lässt und dann nie wieder. Täter können die entsprechende Konfiguration im Nachhinein jedoch ändern und auf beliebige Befehle und andere Quellen umleiten. Speziell, wenn mehrere Nutzer Zugriff auf die Konfiguration haben, zum Beispiel in einem gemeinsamen Repository, ist das Risiko erhöht.

Einfache Änderung im JSON-Skript

Cursor IDE speichert die MCP-Konfiguration in der Datei .cursor/rules/mcp.json wie beispielsweise in der folgenden Abbildung:

Wenn diese in einem Repository liegt, kann ein Angreifer leicht eine neue MCP-Quelle mit einem harmlosen Kommando hinzufügen. Beim nächsten Start bittet die IDE das Opfer einmalig, die harmlose Quelle zu bestätigen. Ist das erfolgt, kann der Angreifer das JSON beliebig anpassen, etwas wie in folgendem Bild:

Bei jedem Start führt Cursor den neuen Code ungefragt aus, die Prüfung erfolgt nur über den im Skript eingetragenen Namen des Servers.

Cursor hat die Schwachstelle am 29. Juli mit Version 1.3 behoben, Anwenderinnen und Anwender sollten auf diese Version updaten. Check Point empfiehlt prinzipiell, Konfigurationsdateien in Repositories zu versionieren und zu überwachen. Außerdem sollten Schreibrechte eingeschränkt sein.

(who)