CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-27554

Critical
Published: Translated: NVD NIST

Summary

ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.

Risk Assessment

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do poufnych danych oraz możliwość wprowadzenia złośliwych aktualizacji do aplikacji, co może wpłynąć na bezpieczeństwo całej organizacji.

Recommendation

Zaleca się aktualizację ToDesktop do wersji po 2024-10-03 oraz przegląd i zabezpieczenie plików konfiguracyjnych, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

ToDesktop before 2024-10-03, as used by Cursor before 2024-10-03 and other applications, allows remote attackers to execute arbitrary commands on the build server (e.g., read secrets from the desktopify config.prod.json file), and consequently deploy updates to any app, via a postinstall script in package.json. No exploitation occurred.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS