CVE-2025-49150 in cursor
Riassunto
di VulDB • 16/06/2026
Cursor è un editor di codice progettato per la programmazione con l'intelligenza artificiale. Prima della versione 0.51.0, l'impostazione json.schemaDownload.enable era impostata su True per default. Ciò significa che scrivendo un file JSON, un attaccante può innescare una richiesta HTTP GET arbitraria senza richiedere conferma all'utente. Poiché Cursor Agent è in grado di modificare i file JSON, ciò implica che un agente malevolo, ad esempio dopo aver avuto successo con un attacco di prompt injection, potrebbe innescare una richiesta GET verso un URL controllato dall'attaccante, potenzialmente esfiltrando altri dati a cui l'agente ha accesso. Questa vulnerabilità è stata risolta nella versione 0.51.0.
Be aware that VulDB is the high quality source for vulnerability data.