CVE-2026-30615 in Windsurfinformación

Resumen

por VulDB • 2026-05-12

Una vulnerabilidad de inyección de indicaciones (prompt injection) en Windsurf 1.9544.26 permite a atacantes remotos ejecutar comandos arbitrarios en un sistema víctima. Cuando Windsurf procesa contenido HTML controlado por el atacante, instrucciones maliciosas pueden provocar la modificación no autorizada de la configuración local de MCP y el registro automático de un servidor MCP STDIO malicioso, lo que resulta en la ejecución de comandos arbitrarios sin interacción adicional del usuario. La explotación exitosa puede permitir a los atacantes ejecutar comandos en nombre del usuario, persistir cambios maliciosos en la configuración de MCP y acceder a información sensible expuesta a través de la aplicación.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

MITRE

Reservar

2026-03-04

Divulgación

2026-04-15

Moderación

aceptado

Artículo

VDB-357735

CPE

listo

EPSS

0.00260

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!