CursorのWindows版に存在する未パッチの脆弱性が、開発者がアプリケーション内でリポジトリを開いた際にコード実行のトリガーとなり得ることが、Mindgardの報告で明らかになりました。
Cursorは、700万人以上のアクティブユーザーを抱える、AI支援型開発環境として最も人気の高いツールの一つです。
Mindgardによると、このセキュリティ上の欠陥は極めて単純なものです。リポジトリを開く際、Cursorはユーザーに警告や承認を求めることなく、プロジェクトのルートに存在する悪意のあるgit.exeバイナリを自動的に実行してしまいます。
「この脆弱性は理論上のものではなく、複雑な悪用チェーンやプロンプトインジェクション、モデル操作、脱獄、メモリ破損、あるいは高度な攻撃者の手口にも依存しません。悪用に必要なのは、リポジトリのルートにgit.exeバイナリを含むプロジェクトを開発者が開くことだけです」とMindgardは述べています。
Mindgardによれば、この問題が存在する原因は、プロジェクトの読み込み時にCursorがワークスペース自体を含む複数の場所からGitバイナリを探索する仕組みにあります。
「攻撃者がリポジトリのルートに悪意のあるgit.exeを仕込んだ場合、Cursorはパス解決ロジックの一部として、警告や承認なしに、さらにはリポジトリ由来の実行可能コンテンツがまさに実行されようとしているという兆候すら示さないまま、それを自動的に実行してしまいます」とMindgardは説明しています。
Mindgardは、2025年12月15日にCursorへこの脆弱性を報告した後、パッチ提供に関する対応が7カ月にわたって得られなかったことを受け、この脆弱性を公表しました。
同社によると、CursorのCISOは1月にMindgardをHackerOne上のバグ報奨金プログラムへ招待し、そこでこのセキュリティ上の欠陥は再提出され、再現可能であることも確認されましたが、その後Cursorからの返答は得られていないとのことです。
「しかし、協調的な情報開示は、そこに協調があって初めて機能するものです。最初の報告から7カ月が経過した今も、ユーザーが保護されている兆候、修正が進行している兆候、あるいは影響を受ける組織に通知が行われた兆候は一切見られません。この段階に至っては、情報を伏せておくことはもはやユーザーのためにならず、単なる沈黙に加担するだけになってしまいます」とMindgardは指摘しています。
SecurityWeekはこの件についてCursorにコメントを求めるメールを送っており、同社から回答があり次第、本記事を更新する予定です。
翻訳元: https://www.securityweek.com/unpatched-cursor-vulnerability-exposes-users-to-code-execution/