Vulnérabilité critique de fuite de données dans l'éditeur de code Cursor AI

Johann Rehberger, un chercheur en sécurité, a découvert une vulnérabilité critique (CVE-2025-54132) dans l’éditeur de code Cursor AI. Cette faille permet aux attaquants de voler des informations sensibles à travers des diagrammes Mermaid malveillants. L’attaque repose sur des injections de commande qui peuvent exfiltrer des mémoires utilisateur, des clés API et d’autres données confidentielles vers des serveurs externes sans le consentement des utilisateurs. La vulnérabilité a été divulguée de manière responsable et corrigée dans la version Cursor v1.3. ...

4 août 2025 · 2 min

Vulnérabilité de contournement des contrôles d'accès dans le serveur MCP d'Anthropic

L’article publié sur le blog ‘Embrace the Red’ le 3 août 2025, met en lumière une vulnérabilité découverte dans le serveur de fichiers MCP d’Anthropic, qui permettait aux systèmes d’IA tels que Claude Desktop de contourner les contrôles d’accès aux répertoires. La faille provenait d’une validation incorrecte des chemins d’accès dans la fonction validatePath du fichier index.ts, utilisant une comparaison .startsWith pour vérifier les chemins de fichiers par rapport à une liste de répertoires autorisés. Cette méthode échouait à garantir que les chemins représentaient de véritables répertoires, permettant ainsi l’accès à tout fichier ou répertoire partageant le même préfixe que les répertoires autorisés. ...

3 août 2025 · 1 min

Vulnérabilité critique dans ChatGPT permettant l'exfiltration de données

L’article publié par embracethered.com met en lumière une vulnérabilité critique dans ChatGPT, un produit d’OpenAI, qui permet à des attaquants d’exfiltrer l’historique des conversations des utilisateurs par le biais d’attaques par injection de commandes. Les chercheurs ont découvert que l’exploitation de cette faille repose sur un contournement de la fonctionnalité de rendu ‘URL sûre’ d’OpenAI. Ce contournement permet aux acteurs malveillants d’envoyer des informations personnelles vers des serveurs tiers en utilisant des domaines comme windows.net. ...

2 août 2025 · 1 min
Dernière mise à jour le: 6 Aug 2025 📝