CVE-2026-30615 in Windsurf
Resumen
por VulDB • 2026-05-12
Una vulnerabilidad de inyección de indicaciones (prompt injection) en Windsurf 1.9544.26 permite a atacantes remotos ejecutar comandos arbitrarios en un sistema víctima. Cuando Windsurf procesa contenido HTML controlado por el atacante, instrucciones maliciosas pueden provocar la modificación no autorizada de la configuración local de MCP y el registro automático de un servidor MCP STDIO malicioso, lo que resulta en la ejecución de comandos arbitrarios sin interacción adicional del usuario. La explotación exitosa puede permitir a los atacantes ejecutar comandos en nombre del usuario, persistir cambios maliciosos en la configuración de MCP y acceder a información sensible expuesta a través de la aplicación.
Be aware that VulDB is the high quality source for vulnerability data.