CVE-2025-27554
CriticalSummary
ToDesktop przed 2024-10-03, używane przez Cursor przed 2024-10-03 oraz inne aplikacje, umożliwia zdalnym atakującym wykonywanie dowolnych poleceń na serwerze budującym, co może prowadzić do odczytu tajemnic z pliku desktopify config.prod.json oraz wdrażania aktualizacji do dowolnej aplikacji za pomocą skryptu postinstall w package.json.
Risk Assessment
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do poufnych danych oraz możliwość wprowadzenia złośliwych aktualizacji do aplikacji, co może wpłynąć na bezpieczeństwo całej organizacji.
Recommendation
Zaleca się aktualizację ToDesktop do wersji po 2024-10-03 oraz przegląd i zabezpieczenie plików konfiguracyjnych, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
ToDesktop before 2024-10-03, as used by Cursor before 2024-10-03 and other applications, allows remote attackers to execute arbitrary commands on the build server (e.g., read secrets from the desktopify config.prod.json file), and consequently deploy updates to any app, via a postinstall script in package.json. No exploitation occurred.

