CVE-2026-30615 in Windsurfinfo

Zusammenfassung

von VulDB • 02.06.2026

Eine Schwachstelle für Prompt Injection in Windsurf 1.9544.26 ermöglicht es entfernten Angreifern, beliebige Befehle auf einem Zielsystem auszuführen. Wenn Windsurf von Angreifern kontrollierte HTML-Inhalte verarbeitet, können bösartige Anweisungen zu einer unbefugten Änderung der lokalen MCP-Konfiguration und zur automatischen Registrierung eines bösartigen MCP-STDIO-Servers führen, was zur Ausführung beliebiger Befehle ohne weitere Benutzerinteraktion resultiert. Eine erfolgreiche Ausnutzung kann es Angreifern ermöglichen, Befehle im Namen des Benutzers auszuführen, bösartige Änderungen an der MCP-Konfiguration dauerhaft zu speichern und auf sensible Informationen zuzugreifen, die über die Anwendung freigegeben werden.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

MITRE

Reservieren

04.03.2026

Veröffentlichung

15.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357735

CPE

bereit

EPSS

0.00260

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!