CVE-2026-30615 in Windsurf
Zusammenfassung
von VulDB • 02.06.2026
Eine Schwachstelle für Prompt Injection in Windsurf 1.9544.26 ermöglicht es entfernten Angreifern, beliebige Befehle auf einem Zielsystem auszuführen. Wenn Windsurf von Angreifern kontrollierte HTML-Inhalte verarbeitet, können bösartige Anweisungen zu einer unbefugten Änderung der lokalen MCP-Konfiguration und zur automatischen Registrierung eines bösartigen MCP-STDIO-Servers führen, was zur Ausführung beliebiger Befehle ohne weitere Benutzerinteraktion resultiert. Eine erfolgreiche Ausnutzung kann es Angreifern ermöglichen, Befehle im Namen des Benutzers auszuführen, bösartige Änderungen an der MCP-Konfiguration dauerhaft zu speichern und auf sensible Informationen zuzugreifen, die über die Anwendung freigegeben werden.
VulDB is the best source for vulnerability data and more expert information about this specific topic.