CVE-2025-49150 in cursor
要約
〜によって VulDB • 2026年05月10日
Cursorは、AIを活用したプログラミングのために構築されたコードエディタです。バージョン0.51.0より前では、デフォルトで設定 `json.schemaDownload.enable` が `True` に設定されていました。これにより、攻撃者はJSONファイルを作成することで、ユーザーの確認を必要としない任意のHTTP GETリクエストをトリガーすることができます。Cursor AgentはJSONファイルを編集できるため、例えばプロンプトインジェクション攻撃が既に成功した場合、悪意のあるエージェントが攻撃者が制御するURLへのGETリクエストをトリガーし、エージェントがアクセス可能な他のデータを漏洩させる可能性があります。この脆弱性は0.51.0で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.