CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-22708

Critical
Published: Translated: NVD NIST

Summary

Cursor to edytor kodu stworzony do programowania z wykorzystaniem AI. Przed wersją 2.3, gdy Agent Cursor działał w trybie Auto-Run z włączonym trybem Allowlist, niektóre wbudowane polecenia powłoki mogły być wykonywane bez pojawiania się na liście dozwolonych i bez wymagania zgody użytkownika.

Risk Assessment

To pozwala atakującemu na zainfekowanie środowiska powłoki poprzez ustawianie, modyfikowanie lub usuwanie zmiennych środowiskowych, które wpływają na zaufane polecenia, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Recommendation

Zaleca się aktualizację do wersji 2.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć środowisko przed potencjalnymi atakami.

Original NVD description (English source)

Cursor is a code editor built for programming with AI. Prior to 2.3, hen the Cursor Agent is running in Auto-Run Mode with Allowlist mode enabled, certain shell built-ins can still be executed without appearing in the allowlist and without requiring user approval. This allows an attacker via indirect or direct prompt injection to poison the shell environment by setting, modifying, or removing environment variables that influence trusted commands. This vulnerability is fixed in 2.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS