Cursor 0day: When Full Disclosure Becomes the Only Protection Left
5 hours ago
- #security
- #vulnerability
- #cursor-ide
- Cursor IDE会自动在仓库根目录执行恶意的git.exe程序而无需用户交互,导致任意代码执行漏洞。
- 该漏洞于2025年12月被发现,已多次上报但超过6个月历经197+版本仍未修复,厂商回应寥寥。
- 缓解措施包括为企业部署AppLocker策略,普通用户建议在修复前使用隔离环境运行。
- 概念验证演示将Windows计算器重命名为git.exe,证实该程序会被反复自动执行。
- Cursor方面缺乏沟通,引发对AI辅助开发工具安全流程和问责机制的担忧。