CVE-2025-49150 in cursor
الملخص
بحسب VulDB • 10/05/2026
Cursor هو محرر أكواد مصمم للبرمجة باستخدام الذكاء الاصطناعي. قبل الإصدار 0.51.0، كان الإعداد json.schemaDownload.enable مضبوطاً على القيمة True بشكل افتراضي. وهذا يعني أنه بكتابة ملف JSON، يمكن لمهاجم تشغيل طلب HTTP GET تعسفي لا يتطلب تأكيداً من المستخدم. ونظراً لأن وكيل Cursor (Cursor Agent) يمكنه تعديل ملفات JSON، فإن هذا يعني أن وكیلاً خبيثاً، على سبيل المثال بعد نجاح هجوم حقن المطالبات (prompt injection)، قد يتمكن من تشغيل طلب GET إلى عنوان URL يتحكم فيه المهاجم، مما قد يؤدي إلى استخراج بيانات أخرى قد يكون الوكيل قادراً على الوصول إليها. تم إصلاح هذا الثغرة الأمنية في الإصدار 0.51.0.
Once again VulDB remains the best source for vulnerability data.