Katalog CVE

CVE-2025-27554

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.

Ocena ryzyka

Podatność ta stwarza ryzyko nieautoryzowanego dostępu do poufnych danych oraz możliwość wprowadzenia złośliwych aktualizacji do aplikacji, co może wpłynąć na bezpieczeństwo całej organizacji.

Rekomendacja

Zaleca się aktualizację ToDesktop do wersji po 2024-10-03 oraz przegląd i zabezpieczenie plików konfiguracyjnych, aby zminimalizować ryzyko związane z tą podatnością.

Oryginalny opis (angielski, źródło NVD)

ToDesktop before 2024-10-03, as used by Cursor before 2024-10-03 and other applications, allows remote attackers to execute arbitrary commands on the build server (e.g., read secrets from the desktopify config.prod.json file), and consequently deploy updates to any app, via a postinstall script in package.json. No exploitation occurred.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS