Les APIs générées par IA souffrent d'une faille IDOR majeure chez Cursor
Les générateurs IA, dont Cursor, produisent systématiquement des APIs sans middleware d'authentification correcte, créant une faille IDOR (Insecure Direct Object Reference).
Publié 10sem·1 média·Important·maj 10sem
≈ 30s
Le fait
Le problème provient de trois patterns récurrents : absence de vérification d'identité, accès direct aux ressources par ID, et manque de contrôle d'accès basé sur l'utilisateur.
Cette vulnérabilité affecte tout projet utilisant des APIs générées par IA sans audit de sécurité préalable.
Impact observé
Exposition à des accès non autorisés à des données sensibles via APIs générées
Nécessité de réévaluer les processus de génération de code IA en matière de sécurité
Une faille de type IDOR (Insecure Direct Object Reference) aurait permis l'accès non autorisé à des données de l'Agence nationale des titres sécurisés.
Une vulnérabilité de pollution de prototype a été identifiée dans les fusionneurs d'objets par défaut de Claude Code et Cursor, outils d'édition basés sur l'IA utilisés en production par des milliers de développeurs.