Editor de código con IA vulnerable a fallos que Chrome corrigió hace meses.
Los entornos IDE Cursor y Windsurf están en riesgo de explotación por al menos 94 vulnerabilidades conocidas en Chromium y en el motor de JavaScript V8. Ambos entornos están construidos sobre versiones obsoletas de Electron y Visual Studio Code, por lo que no reciben actualizaciones oportunas de componentes críticos. Se estima que 1,8 millones de usuarios están en riesgo.
La investigación de Ox Security identificó que Cursor y Windsurf, siendo forks de Visual Studio Code con integración de modelos LLM para autocompletado y generación de código, usan una versión fija de Electron. En ella están incrustadas versiones vulnerables de Chromium y V8, y, puesto que los desarrolladores de los IDE no actualizan Electron, todo el conjunto queda expuesto a vulnerabilidades que hace tiempo se corrigieron en los navegadores actuales.
Una de esas vulnerabilidades fue CVE-2025-7656 (puntuación CVSS: 8.8): un desbordamiento de entero en el compilador Maglev JIT al pasar funciones con un número extremadamente alto de argumentos (~40 000). Este fallo se corrigió en Chromium el 15 de julio de 2025, pero todavía está presente en Cursor y Windsurf. Los especialistas demostraron con éxito un exploit funcional mediante un deeplink que abre el navegador integrado y carga un script malicioso. Esto provoca la caída del proceso de renderizado —una denegación de servicio— pero, según los autores, la vulnerabilidad potencialmente también permite la ejecución de código arbitrario mediante corrupción de memoria.
La explotación ocurre de forma sigilosa: un enlace deeplink puede incrustarse en la documentación, en un archivo README o incluso en un correo de phishing. Al abrirse, se inicia el navegador integrado del IDE —Simple Browser— que visita un sitio remoto con la carga maliciosa. Como el código se almacena fuera del comando prompt, no se detecta en el análisis estático.
En Ox Security subrayan que la vulnerabilidad no se reproduce en la última versión de Visual Studio Code, ya que recibe actualizaciones regulares de Chromium. No obstante, en Cursor y Windsurf el exploit funciona porque ambos proyectos están fijados en la versión obsoleta de Chromium 132.0.6834.210 (compilación del 21 de marzo de 2025). Desde entonces, en Chromium se han corregido al menos 94 CVE, y solo uno de ellos se ha utilizado en este PoC. Los demás siguen sin corregir y están documentados públicamente.
Lo que alarma especialmente es que los entornos IDE no son simples editores. Tienen acceso a todos los recursos del desarrollador: el código fuente, las claves de API, la base de datos y la infraestructura en la nube. La compromisión del IDE puede conducir a la introducción de puertas traseras a nivel de cadena de suministro, lo que puede afectar a organizaciones enteras y a sus clientes.
Las variantes de explotación incluyen: extensiones maliciosas que descargan automáticamente el exploit; documentación o tutoriales infectados; campañas de phishing con enlaces "atractivos"; elementos maliciosos en README que se muestran automáticamente en la vista previa del IDE.
A pesar de la gravedad de la vulnerabilidad, Cursor respondió al informe de Ox Security con la frase: "self-DOS está fuera del alcance de nuestra consideración". Y Windsurf no proporcionó ningún comentario. Los expertos subrayan que ese enfoque ignora el riesgo fundamental: la posibilidad de ejecución remota de código (RCE) y decenas de otras vulnerabilidades sin corregir. Tal pasividad deja de hecho a millones de usuarios indefensos frente a los ataques.
En Ox Security subrayan: se trata de un problema sistémico —las aplicaciones Electron heredan vulnerabilidades n-day de Chromium y V8 si no actualizan la versión base. A diferencia de los navegadores, los IDE no reciben actualizaciones automáticas de seguridad. Esto los hace especialmente vulnerables a largo plazo. Dado que los usuarios no pueden actualizar por sí mismos Chromium dentro de una aplicación Electron, la solución solo puede venir de los desarrolladores de los IDE. Ox Security insta a implementar de inmediato un sistema automático de actualización de los componentes Chromium y Electron, establecer un SLA claro para corregir los CVE críticos, y también a clasificar la seguridad del entorno de desarrollo como un elemento de la seguridad de toda la infraestructura.