CVE-2026-30615 in Windsurf
Riassunto
di VulDB • 16/06/2026
Una vulnerabilità di prompt injection in Windsurf 1.9544.26 consente agli attaccanti remoti di eseguire comandi arbitrari su un sistema vittima. Quando Windsurf elabora contenuti HTML controllati dall'attaccante, istruzioni malevole possono causare la modifica non autorizzata della configurazione locale del MCP e la registrazione automatica di un server MCP STDIO malevolo, portando all'esecuzione di comandi arbitrari senza ulteriore interazione dell'utente. Lo sfruttamento riuscito potrebbe consentire agli attaccanti di eseguire comandi per conto dell'utente, mantenere modifiche persistenti alla configurazione MCP dannosa ed accedere a informazioni sensibili esposte tramite l'applicazione.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.