CVE-2025-49150 in cursorinfo

Zusammenfassung

von VulDB • 22.05.2026

Cursor ist ein Code-Editor, der für die Programmierung mit KI entwickelt wurde. Vor Version 0.51.0 war die Einstellung json.schemaDownload.enable standardmäßig auf True gesetzt. Dies bedeutet, dass ein Angreifer durch das Schreiben einer JSON-Datei eine beliebige HTTP-GET-Anfrage auslösen kann, die keine Benutzerbestätigung erfordert. Da der Cursor-Agent JSON-Dateien bearbeiten kann, kann ein bösartiger Agent, beispielsweise nach einer erfolgreich durchgeführten Prompt-Injection-Attacke, eine GET-Anfrage an eine vom Angreifer kontrollierte URL auslösen und dabei potenziell andere Daten, auf die der Agent Zugriff hat, exfiltrieren. Diese Schwachstelle wurde in Version 0.51.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

02.06.2025

Veröffentlichung

11.06.2025

Moderieren

akzeptiert

Eintrag

VDB-312326

CPE

bereit

EPSS

0.00321

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!