Краткое содержание

Cursor — это редактор кода, предназначенный для программирования с использованием искусственного интеллекта. В версиях ниже 1.3 Mermaid (используется для визуализации диаграмм) позволяет встраивать изображения, которые затем отображаются редактором Cursor в окне чата. Атака заключается в том, что злоумышленник может использовать эту возможность для передачи конфиденциальной информации стороннему серверу, контролируемому атакующим, через загрузку изображения после успешного выполнения инъекции подсказок. Злонамеренная модель (или иллюзия / бэкдор) также способна инициировать данную уязвимость по своему усмотрению. Для эксплуатации данной проблемы необходима успешная инъекция подсказки из вредоносных данных (веб-контент, загруженное изображение, исходный код), после чего она сможет отправлять чувствительную информацию на внешний сервер, подконтрольный злоумышленнику. CVE была создана GitHub от имени компании-разработчика редактора. Документированные обновления Visual Studio включают исправления в Mermaid, устраняющие указанную уязвимость. Дополнительную информацию см. в статье: [Руководство по обновлению безопасности поддерживает присвоенные отраслевыми партнерами идентификаторы CVE](https://msrc-blog.microsoft.com/2021/01/13/security-update-guide-supports-cves-assigned-by-industry-partners/).