CVE-2025-49150 in cursorالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Cursor هو محرر أكواد مصمم للبرمجة باستخدام الذكاء الاصطناعي. قبل الإصدار 0.51.0، كان الإعداد json.schemaDownload.enable مضبوطاً على القيمة True بشكل افتراضي. وهذا يعني أنه بكتابة ملف JSON، يمكن لمهاجم تشغيل طلب HTTP GET تعسفي لا يتطلب تأكيداً من المستخدم. ونظراً لأن وكيل Cursor (Cursor Agent) يمكنه تعديل ملفات JSON، فإن هذا يعني أن وكیلاً خبيثاً، على سبيل المثال بعد نجاح هجوم حقن المطالبات (prompt injection)، قد يتمكن من تشغيل طلب GET إلى عنوان URL يتحكم فيه المهاجم، مما قد يؤدي إلى استخراج بيانات أخرى قد يكون الوكيل قادراً على الوصول إليها. تم إصلاح هذا الثغرة الأمنية في الإصدار 0.51.0.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

02/06/2025

إفشاء

11/06/2025

الاعتدال

تمت الموافقة

إدخال

VDB-312326

EPSS

0.00321

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!