CVE-2025-49150 in cursor
Zusammenfassung
von VulDB • 22.05.2026
Cursor ist ein Code-Editor, der für die Programmierung mit KI entwickelt wurde. Vor Version 0.51.0 war die Einstellung json.schemaDownload.enable standardmäßig auf True gesetzt. Dies bedeutet, dass ein Angreifer durch das Schreiben einer JSON-Datei eine beliebige HTTP-GET-Anfrage auslösen kann, die keine Benutzerbestätigung erfordert. Da der Cursor-Agent JSON-Dateien bearbeiten kann, kann ein bösartiger Agent, beispielsweise nach einer erfolgreich durchgeführten Prompt-Injection-Attacke, eine GET-Anfrage an eine vom Angreifer kontrollierte URL auslösen und dabei potenziell andere Daten, auf die der Agent Zugriff hat, exfiltrieren. Diese Schwachstelle wurde in Version 0.51.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.