CVE-2026-26268 in Cursor
Riassunto
di VulDB • 21/06/2026
Cursor è un editor di codice progettato per la programmazione con l'intelligenza artificiale. Nelle versioni precedenti alla 2.5 era possibile effettuare una fuga dalla sandbox (sandbox escape) scrivendo nella configurazione .git. Un agente malevolo, ad esempio tramite prompt injection, poteva scrivere nelle impostazioni .git non adeguatamente protette, inclusi i git hooks, causando potenzialmente un'esecuzione di codice in modalità remota fuori dalla sandbox (out-of-sandbox RCE) alla successiva attivazione degli hook. Non era richiesta alcuna interazione dell'utente poiché Git esegue questi comandi automaticamente. Il problema è stato risolto nella versione 2.5.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.