C
月内に
AIコードエディタ「Cursor」において、インストールされた拡張機能が開発者のAPIキーやセッショントークンを窃取できる高危深刻な脆弱性(CVSS 8.2)
📌 一言でいうと
AIコードエディタ「Cursor」において、インストールされた拡張機能が開発者のAPIキーやセッショントークンを窃取できる高危深刻な脆弱性(CVSS 8.2)が発見されました。機密情報が暗号化されずにローカルのSQLiteデータベースに保存されており、拡張機能によるアクセス制限がないことが原因です。ベンダー側は現状、ユーザーが信頼できる拡張機能のみをインストールすることを推奨していますが、根本的な修正は行われていません。
🏢影響範囲
Cursor AIを利用しているソフトウェア開発者および開発チーム
✅該当時の対応
1. インストール済みのCursor拡張機能を厳格に監査し、未検証または不審なツールを削除すること。2. 信頼できないサードパーティ製拡張機能の導入を禁止すること。3. 可能な限り、APIキーの有効期限を短く設定し、定期的にローテーションすること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cursor AI 拡張機能による認証情報漏洩の脆弱性について
お疲れさまです。Cursor AIにおける認証情報漏洩の脆弱性に関する情報共有です。
■ 概要
Cursor AIにおいて、インストールされた拡張機能がローカルのSQLiteデータベース(~/Library/Application Support/Cursor/User/globalStorage/state.vscdb)からAPIキーやセッショントークンを平文で読み取ることができる脆弱性が報告されています(CVSS 8.2)。
■ 影響範囲
- Cursor AIを利用している全ユーザーおよびインストール済みの拡張機能
■ 対応手順
1. 開発環境で利用しているCursor拡張機能のリストを監査し、出所不明な拡張機能を削除してください。
2. 組織内でCursorの利用を許可している場合、信頼された拡張機能のみを利用するようガイドラインを周知してください。
3. 漏洩の可能性があるAPIキー(OpenAI, Google, Anthropic等)のローテーションを検討してください。
■ 参考情報
- LayerX Security Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Cursor AIにおける認証情報漏洩の脆弱性に関する情報共有です。
■ 概要
Cursor AIにおいて、インストールされた拡張機能がローカルのSQLiteデータベース(~/Library/Application Support/Cursor/User/globalStorage/state.vscdb)からAPIキーやセッショントークンを平文で読み取ることができる脆弱性が報告されています(CVSS 8.2)。
■ 影響範囲
- Cursor AIを利用している全ユーザーおよびインストール済みの拡張機能
■ 対応手順
1. 開発環境で利用しているCursor拡張機能のリストを監査し、出所不明な拡張機能を削除してください。
2. 組織内でCursorの利用を許可している場合、信頼された拡張機能のみを利用するようガイドラインを周知してください。
3. 漏洩の可能性があるAPIキー(OpenAI, Google, Anthropic等)のローテーションを検討してください。
■ 参考情報
- LayerX Security Report
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Credential Theft Vulnerability in Cursor AI Extensions
Dear IT/Security Team,
We are sharing information regarding a high-severity vulnerability in the Cursor AI editor.
■ Overview
It has been discovered that installed extensions in Cursor AI can access sensitive developer credentials (API keys and session tokens) stored in an unencrypted local SQLite database (~/Library/Application Support/Cursor/User/globalStorage/state.vscdb). This vulnerability has a CVSS score of 8.2.
■ Scope
- All users of Cursor AI and their installed extensions.
■ Mitigation Steps
1. Audit all installed Cursor extensions and remove any unverified or suspicious tools.
2. Issue a directive to developers to avoid installing third-party extensions from untrusted sources.
3. Consider rotating API keys for integrated services (e.g., OpenAI, Google, Anthropic) as a precautionary measure.
■ Reference
- LayerX Security Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a high-severity vulnerability in the Cursor AI editor.
■ Overview
It has been discovered that installed extensions in Cursor AI can access sensitive developer credentials (API keys and session tokens) stored in an unencrypted local SQLite database (~/Library/Application Support/Cursor/User/globalStorage/state.vscdb). This vulnerability has a CVSS score of 8.2.
■ Scope
- All users of Cursor AI and their installed extensions.
■ Mitigation Steps
1. Audit all installed Cursor extensions and remove any unverified or suspicious tools.
2. Issue a directive to developers to avoid installing third-party extensions from untrusted sources.
3. Consider rotating API keys for integrated services (e.g., OpenAI, Google, Anthropic) as a precautionary measure.
■ Reference
- LayerX Security Report
Priority: High
Deadline: Immediate