Cursor zero-day: škodlivý git.exe v repozitári spúšťa ľubovoľný kód bez interakcie používateľa
Čo sa stalo
Mindgard 14. júla 2026 zverejnil podrobnosti o kritickej zero-day zraniteľnosti (CVE-2026-26268) v Cursor IDE s viac ako 7 miliónmi používateľov. Na Windows, ak repozitár obsahuje škodlivý git.exe v koreňovom adresári projektu, Cursor ho automaticky spustí pri otvorení projektu — bez akejkoľvek interakcie, kliknutí alebo varovaní.
Kontext a dopad
Zraniteľnosť bola prvýkrát nahlásená 15. decembra 2025, no ostala neopravená 7+ mesiacov počas ktorých Cursor vydal 197 nových verzií. Okrem toho Mindgard odhalil dve ďalšie prompt-injection sandbox-escape zraniteľnosti (CVE-2026-50548 a CVE-2026-50549, CVSS 9.8) umožňujúce zero-click vzdialené spustenie kódu. Tieto boli opravené v Cursor 3.0. Závislosť na externých nástrojoch (git) ako súčasť automatizovaných agentstských workflow predstavuje systémové riziko pre celú kategóriu AI IDE.
Detaily
- CVE-2026-26268: škodlivý git.exe v root repozitára = RCE bez interakcie (Windows)
- CVE-2026-50548 a -50549: CVSS 9.8, zero-click RCE cez prompt injection
- Nahlásené: 15. december 2025; neopravené 7+ mesiacov / 197 vydaní Cursoru
- Opravené: CVE-2026-50548/49 v Cursor 3.0; CVE-2026-26268 stav neurčitý ku dňu zverejnenia
- Dopad: 7M+ aktívnych používateľov Cursor IDE
- Zverejnenie: full disclosure po zlyhaní koordinovaného opravenia