Конфигурация Cursor на macOS, в частности включённый fuse "RunAsNode", позволяет локальному злоумышленнику с непривилегированным доступом в…
Конфигурация Cursor на macOS, в частности включённый fuse "RunAsNode", позволяет локальному злоумышленнику с непривилегированным доступом выполнить произвольный код, который наследует разрешения Cursor TCC (Transparency, Consent, and Control). Приобретенный доступ к ресурсам ограничен ранее предоставленными пользователями разрешениями. Доступ к другим ресурсам, помимо ранее предоставленных разрешений TCC, потребует одобрения пользователя от имени Cursor, что потенциально может ввести в заблуждение относительно истинных намерений злоумышленника [1]. Этот вопрос был обнаружен в версии 15.4.1 Cursor. Разработчики проекта решили не исправлять эту проблему, поскольку сценарий, включающий локального злоумышленника, выходит за рамки их определённой модели угроз. Источники: - [1] https://afine.com/threat-of-tcc-bypasses-on-macos/#cooking-cursor-app - [2] https://github.com/cursor/cursor - [3] https://cert.pl/posts/2025/08/tcc-bypass/ - [4] https://github.com/cursor/cursor/security/advisories/GHSA-xp8w-f7f4-r544
В процессе установки разрешения для устанавливаемых файлов задаются таким образом, что любой пользователь может их изменять.
https://cwe.mitre.org/data/definitions/276.html →Открыть в коллекции CWE →В приложениях, особенно веб-приложениях, доступ к функциональности ограничивается системой авторизации. Эта система сопоставляет списки контроля доступа (ACL) с элементами функциональности приложения — в частности, с URL-адресами веб-приложений. Если администратор не задал ACL для определённого элемента, злоумышленник может получить к нему доступ безнаказанно. Злоумышленник, способный обращаться к функциональности, не ограниченной ACL должным образом, может получить конфиденциальную информацию и, возможно, скомпрометировать приложение целиком. Такой злоумышленник может обращаться к ресурсам, которые должны быть доступны только пользователям с более высоким уровнем привилегий, получать доступ к административным разделам приложения или выполнять запросы на получение данных, к которым у него не должно быть доступа.
https://capec.mitre.org/data/definitions/1.html →Открыть в коллекции CAPEC →Атаки типа «Фальсификация журналов веб-сервера» предполагают внедрение, удаление или иное изменение содержимого журналов веб-сервера злоумышленником, как правило, с целью сокрытия других вредоносных действий. Кроме того, запись вредоносных данных в файлы журналов может быть направлена против задач, фильтров, отчётов и других агентов, обрабатывающих журналы в асинхронном шаблоне атаки. Данный шаблон атаки схож с «Внедрением/фальсификацией/подделкой журналов», за исключением того, что в данном случае атака направлена на журналы веб-сервера, а не приложения.
https://capec.mitre.org/data/definitions/81.html →Открыть в коллекции CAPEC →Злоумышленник формирует запрос к цели, в результате которого та выводит/индексирует содержимое каталога. Один из распространённых методов получения содержимого каталога в виде вывода состоит в формировании запроса, содержащего путь, оканчивающийся именем каталога, а не именем файла, поскольку многие приложения настроены на вывод списка содержимого каталога при получении такого запроса. Злоумышленник может использовать это для изучения структуры каталогов цели, а также для получения имён файлов. Это нередко позволяет обнаружить тестовые файлы, резервные копии, временные файлы, скрытые файлы, конфигурационные файлы, учётные записи пользователей, содержимое сценариев, а также соглашения об именовании — всё это злоумышленник может использовать для проведения дальнейших атак.
https://capec.mitre.org/data/definitions/127.html →Открыть в коллекции CAPEC →