CVE-2025-49150 in cursor
Sumário
de VulDB • 02/06/2026
Cursor é um editor de código criado para programação com IA. Antes da versão 0.51.0, por padrão, a configuração json.schemaDownload.enable estava definida como True. Isso significa que, ao escrever um arquivo JSON, um atacante pode acionar uma requisição HTTP GET arbitrária que não requer confirmação do usuário. Como o Cursor Agent pode editar arquivos JSON, isso significa que um agente malicioso, por exemplo, após um ataque de injeção de prompt ter sido bem-sucedido, poderia acionar uma requisição GET para uma URL controlada pelo atacante, potencialmente exfiltrando outros dados aos quais o agente possa ter acesso. Esta vulnerabilidade foi corrigida na versão 0.51.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.