Uma recente investigação revelou que o Cursor AI e o Windsurf IDE, ferramentas populares de desenvolvimento baseadas em Chromium, contêm mais de 94 vulnerabilidades conhecidas (n-days) ainda não corrigidas. Essas falhas, herdadas de versões antigas do motor do Google Chrome, colocam em risco desenvolvedores e empresas que utilizam as plataformas diariamente para criar e testar aplicações.
Segundo o relatório, as vulnerabilidades incluem brechas graves que podem permitir execução remota de código, escalonamento de privilégios e roubo de informações. O problema decorre do uso de versões desatualizadas do Chromium — o mesmo motor que impulsiona navegadores como Chrome e Edge —, que não recebem atualizações de segurança automáticas nas versões personalizadas usadas por esses IDEs.
Especialistas alertam que, ao integrar navegadores embutidos sem atualizações regulares, desenvolvedores de IDEs acabam expondo usuários a riscos semelhantes aos de usar um navegador sem patch de segurança. Entre as falhas detectadas estão vulnerabilidades que já foram exploradas em ataques reais, o que aumenta a gravidade da situação.
As empresas por trás do Cursor e do Windsurf afirmaram estar avaliando as descobertas, mas ainda não divulgaram um cronograma de correção. Enquanto isso, pesquisadores recomendam que os usuários evitem abrir projetos ou links de origem desconhecida dentro dessas ferramentas, e mantenham controles adicionais de segurança em seus ambientes de desenvolvimento.
Dica de prevenção:
Desenvolvedores devem priorizar o uso de IDEs atualizados, isolar ambientes de teste e aplicar ferramentas de detecção de ameaças. Também é essencial monitorar dependências e componentes de terceiros que possam conter vulnerabilidades herdadas.
Falhas em softwares amplamente utilizados mostram como a segurança deve ser tratada desde a base do desenvolvimento. Para fortalecer a proteção digital da sua empresa, conheça as soluções da LC SEC, como Penteste, Threat Intelligence com IA, Auditoria Interna e Plano Diretor de Segurança. Saiba mais em lcsec.io.