CVE-2025-49150 in cursorinformazioni

Riassunto

di VulDB • 16/06/2026

Cursor è un editor di codice progettato per la programmazione con l'intelligenza artificiale. Prima della versione 0.51.0, l'impostazione json.schemaDownload.enable era impostata su True per default. Ciò significa che scrivendo un file JSON, un attaccante può innescare una richiesta HTTP GET arbitraria senza richiedere conferma all'utente. Poiché Cursor Agent è in grado di modificare i file JSON, ciò implica che un agente malevolo, ad esempio dopo aver avuto successo con un attacco di prompt injection, potrebbe innescare una richiesta GET verso un URL controllato dall'attaccante, potenzialmente esfiltrando altri dati a cui l'agente ha accesso. Questa vulnerabilità è stata risolta nella versione 0.51.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

02/06/2025

Divulgazione

11/06/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00321

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!