CVE-2026-48124
WysokieCVSS 8.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 - wyżej niż 3% wszystkich znanych CVE
Streszczenie
Cursor to edytor kodu zaprojektowany do programowania z wykorzystaniem AI. W wersjach przed 3.0.0, Cursor Desktop mógł wykonywać polecenia hook zdefiniowane w workspace z pliku .claude/settings.local.json bez dedykowanej zgody użytkownika.
Ocena ryzyka
Złośliwy plik stworzony przez workspace lub agenta mógł skonfigurować hooki, które uruchamiały lokalne polecenia w kontekście użytkownika, co mogło prowadzić do ucieczki z piaskownicy, utrzymania dostępu lub kompromitacji lokalnych danych.
Rekomendacja
Zaleca się aktualizację do wersji 3.0.0, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Cursor is a code editor built for programming with AI. In versions prior to 3.0.0, the Cursor Desktop could execute workspace-defined Claude hook commands from .claude/settings.local.json without dedicated user approval. A malicious workspace or agent-created file could configure hooks that run local commands in the user's context when an agent turn ends. This could allow sandbox escape, persistence across turns, local data access, or follow-on compromise. This issue has been fixed in version 3.0.0.

