Underc0de - La Casa de los Informáticos

Los entornos de desarrollo integrados (IDE) Cursor y Windsurf, ampliamente utilizados por programadores de software impulsados por inteligencia artificial, han sido encontrados vulnerables a más de 94 fallas de seguridad conocidas y ya parcheadas en el navegador Chromium y el motor JavaScript V8. De acuerdo con una investigación publicada por Ox Security, alrededor de 1,8 millones de desarrolladores podrían estar actualmente expuestos a riesgos críticos de ejecución de código, denegación de servicio y corrupción de memoria.

IDE modernos, pero con cimientos obsoletos

Cursor y Windsurf se presentan como alternativas impulsadas por IA a Visual Studio Code (VS Code), diseñadas para asistir a los desarrolladores mediante modelos de lenguaje (LLM) que generan código y automatizan tareas de programación. Sin embargo, ambos entornos comparten un problema estructural: su dependencia de versiones antiguas del framework Electron, que integra componentes del navegador Chromium y el motor V8 de Google.

Electron permite crear aplicaciones multiplataforma usando tecnologías web como HTML, CSS y JavaScript, empaquetando un motor de navegador completo dentro del IDE. Esto significa que cuando una versión de Electron queda desactualizada, también lo hacen Chromium y V8, arrastrando consigo vulnerabilidades que ya fueron corregidas en las versiones más recientes.

Según Ox Security, Cursor y Windsurf están basados en versiones antiguas de VS Code y Electron, lo que implica que ambos heredan vulnerabilidades conocidas de los componentes del navegador. Los investigadores confirmaron que los IDE utilizan compilaciones antiguas de Chromium, afectadas por al menos 94 CVE (Common Vulnerabilities and Exposures) ya documentadas y reparadas por Google en versiones posteriores.

Citar"Dado que Electron incorpora Chromium y V8, esto significa que los IDE se basan en motores obsoletos, exponiéndolos a vulnerabilidades que ya han sido parcheadas en versiones más recientes", explican los investigadores de Ox Security.

CVE-2025-7656: una prueba de concepto que demuestra el riesgo

Para demostrar la magnitud del problema, Nir Zadok y Moshe Siman Tov Bustan, investigadores de Ox Security, desarrollaron un exploit funcional dirigido al IDE Cursor. El ataque aprovecha la vulnerabilidad CVE-2025-7656, un desbordamiento de enteros (integer overflow) en el motor V8 de Google Chrome que fue corregido el 15 de julio de 2025.

El exploit se ejecuta mediante un enlace profundo que ordena al IDE abrir una URL remota que contiene una carga maliciosa en JavaScript. Al procesarla, el motor V8 vulnerable provoca una condición de denegación de servicio (DoS), bloqueando el renderizador del entorno.

Aunque la prueba de concepto (PoC) solo causó un bloqueo del IDE, los investigadores advierten que la ejecución de código arbitrario es posible en escenarios reales, lo que podría permitir a un atacante tomar control del sistema del desarrollador o infiltrarse en su entorno de trabajo.

Citar"La superficie de ataque es masiva. Desde la última actualización de Chromium en marzo de 2025, se han publicado al menos 94 CVE conocidos. Solo hemos explotado uno, pero los riesgos potenciales son mucho mayores", señaló Ox Security.

Cómo podrían explotar los atacantes las vulnerabilidades

Las posibilidades de explotación son diversas y preocupantes. Según Ox Security, los ciberdelincuentes podrían:

• Usar extensiones maliciosas dentro del IDE para activar exploits.
• Inyectar código malicioso en documentación o tutoriales que se previsualizan en Cursor o Windsurf.
• Realizar ataques de phishing que redirijan a los desarrolladores a enlaces manipulados.
• Contaminar repositorios en GitHub o GitLab con archivos README o scripts que ejecuten cargas maliciosas al abrirse en el entorno vulnerable.

Estas técnicas son especialmente peligrosas porque los entornos de desarrollo son blancos estratégicos. Un ataque exitoso no solo compromete la máquina del desarrollador, sino que puede insertar puertas traseras en proyectos de software, afectando a miles de usuarios finales o clientes corporativos.

Falta de respuesta de Cursor y Windsurf

Ox Security informó responsablemente las vulnerabilidades el 12 de octubre de 2025, sin embargo, la respuesta de los desarrolladores ha sido decepcionante. Según el informe, Cursor consideró el reporte "fuera de alcance" al argumentar que el exploit causaba un DoS autoinfligido, mientras que Windsurf no respondió al contacto.

Esta postura, según los investigadores, minimiza la gravedad del problema y pasa por alto el potencial de explotación más amplio, que incluye corrupción de memoria, ejecución remota de código (RCE) y otros riesgos derivados de las múltiples vulnerabilidades no parcheadas.

Por su parte, Ox Security aclara que el Visual Studio Code original no es vulnerable, ya que Microsoft actualiza regularmente las versiones de Electron, Chromium y V8 en sus lanzamientos oficiales, mitigando cualquier CVE conocida.

La importancia de mantener los entornos de desarrollo actualizados

La investigación de Ox Security resalta una lección crucial para la comunidad de desarrolladores: los IDE basados en tecnologías web deben actualizar sus componentes con la misma frecuencia que los navegadores modernos.

Cuando un entorno de desarrollo no actualiza su base de Chromium o V8, las vulnerabilidades acumuladas pueden convertirse en un vector de ataque peligroso. Esto se agrava si los IDE son ampliamente utilizados por desarrolladores que manejan código sensible o trabajan en entornos corporativos.

En este contexto, se recomienda a todos los usuarios de Cursor y Windsurf:

• Evitar abrir enlaces o documentación externa dentro del IDE hasta que se publiquen actualizaciones de seguridad.
• Deshabilitar o eliminar extensiones no verificadas.
• Ejecutar los IDE en entornos aislados (sandbox o contenedores) para minimizar el impacto en caso de explotación.
• Supervisar los procesos y conexiones salientes del entorno de desarrollo.
• Mantener copias de seguridad actualizadas del código y la configuración.

En fin...

Las revelaciones de Ox Security subrayan una realidad incómoda: incluso las herramientas modernas impulsadas por inteligencia artificial pueden volverse vectores de ataque si se construyen sobre cimientos desactualizados. Cursor y Windsurf, al depender de versiones antiguas de Chromium y V8, exponen a millones de desarrolladores a un conjunto de vulnerabilidades críticas que podrían ser explotadas con relativa facilidad.

Hasta que los desarrolladores de ambos IDE lancen actualizaciones que integren las versiones más recientes de Electron, los usuarios deben extremar precauciones y limitar el uso de estas herramientas en entornos sensibles.

La seguridad en el desarrollo de software comienza con la actualización de las herramientas. En un panorama donde los ataques a la cadena de suministro son cada vez más comunes, ignorar vulnerabilidades conocidas puede ser un error costoso para toda la comunidad tecnológica.

Fuente: https://www.bleepingcomputer.com/