CVE-2026-30615 in Windsurfinformation

Résumé

par VulDB • 20/05/2026

Une vulnérabilité d'injection d'invite (prompt injection) dans Windsurf 1.9544.26 permet aux attaquants distants d'exécuter des commandes arbitraires sur un système victime. Lorsque Windsurf traite du contenu HTML contrôlé par l'attaquant, des instructions malveillantes peuvent entraîner une modification non autorisée de la configuration MCP locale et l'enregistrement automatique d'un serveur MCP STDIO malveillant, ce qui aboutit à l'exécution de commandes arbitraires sans autre interaction de l'utilisateur. Une exploitation réussie peut permettre aux attaquants d'exécuter des commandes en tant qu'utilisateur, de persister les modifications malveillantes de la configuration MCP et d'accéder aux informations sensibles exposées via l'application.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

MITRE

Réserver

04/03/2026

Divulgation

15/04/2026

Modérer

accepté

Entrée

VDB-357735

CPE

prêt

EPSS

0.00260

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!