CVE-2026-30615 in Windsurfinformazioni

Riassunto

di VulDB • 16/06/2026

Una vulnerabilità di prompt injection in Windsurf 1.9544.26 consente agli attaccanti remoti di eseguire comandi arbitrari su un sistema vittima. Quando Windsurf elabora contenuti HTML controllati dall'attaccante, istruzioni malevole possono causare la modifica non autorizzata della configurazione locale del MCP e la registrazione automatica di un server MCP STDIO malevolo, portando all'esecuzione di comandi arbitrari senza ulteriore interazione dell'utente. Lo sfruttamento riuscito potrebbe consentire agli attaccanti di eseguire comandi per conto dell'utente, mantenere modifiche persistenti alla configurazione MCP dannosa ed accedere a informazioni sensibili esposte tramite l'applicazione.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

MITRE

Prenotare

04/03/2026

Divulgazione

15/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00260

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!