Späť na rubriku
Bezpečnosť 🔥 Top

Cursor zero-day: škodlivý git.exe v repozitári spúšťa ľubovoľný kód bez interakcie používateľa

Streda 15. júla 2026 Zdroj: Mindgard

Čo sa stalo

Mindgard 14. júla 2026 zverejnil podrobnosti o kritickej zero-day zraniteľnosti (CVE-2026-26268) v Cursor IDE s viac ako 7 miliónmi používateľov. Na Windows, ak repozitár obsahuje škodlivý git.exe v koreňovom adresári projektu, Cursor ho automaticky spustí pri otvorení projektu — bez akejkoľvek interakcie, kliknutí alebo varovaní.

Kontext a dopad

Zraniteľnosť bola prvýkrát nahlásená 15. decembra 2025, no ostala neopravená 7+ mesiacov počas ktorých Cursor vydal 197 nových verzií. Okrem toho Mindgard odhalil dve ďalšie prompt-injection sandbox-escape zraniteľnosti (CVE-2026-50548 a CVE-2026-50549, CVSS 9.8) umožňujúce zero-click vzdialené spustenie kódu. Tieto boli opravené v Cursor 3.0. Závislosť na externých nástrojoch (git) ako súčasť automatizovaných agentstských workflow predstavuje systémové riziko pre celú kategóriu AI IDE.

Detaily

  • CVE-2026-26268: škodlivý git.exe v root repozitára = RCE bez interakcie (Windows)
  • CVE-2026-50548 a -50549: CVSS 9.8, zero-click RCE cez prompt injection
  • Nahlásené: 15. december 2025; neopravené 7+ mesiacov / 197 vydaní Cursoru
  • Opravené: CVE-2026-50548/49 v Cursor 3.0; CVE-2026-26268 stav neurčitý ku dňu zverejnenia
  • Dopad: 7M+ aktívnych používateľov Cursor IDE
  • Zverejnenie: full disclosure po zlyhaní koordinovaného opravenia
Otvoriť pôvodný zdroj Mindgard