CVE-2026-22708
CriticalSummary
Cursor to edytor kodu stworzony do programowania z wykorzystaniem AI. Przed wersją 2.3, gdy Agent Cursor działał w trybie Auto-Run z włączonym trybem Allowlist, niektóre wbudowane polecenia powłoki mogły być wykonywane bez pojawiania się na liście dozwolonych i bez wymagania zgody użytkownika.
Risk Assessment
To pozwala atakującemu na zainfekowanie środowiska powłoki poprzez ustawianie, modyfikowanie lub usuwanie zmiennych środowiskowych, które wpływają na zaufane polecenia, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Recommendation
Zaleca się aktualizację do wersji 2.3 lub nowszej, aby usunąć tę podatność i zabezpieczyć środowisko przed potencjalnymi atakami.
Original NVD description (English source)
Cursor is a code editor built for programming with AI. Prior to 2.3, hen the Cursor Agent is running in Auto-Run Mode with Allowlist mode enabled, certain shell built-ins can still be executed without appearing in the allowlist and without requiring user approval. This allows an attacker via indirect or direct prompt injection to poison the shell environment by setting, modifying, or removing environment variables that influence trusted commands. This vulnerability is fixed in 2.3.

