脆弱性  ·  2026-07-15

Cursor IDE Auto-Executes Malicious git.exe from Poisoned Repositories (Unpatched 0-day)

脆弱性High 影響度Global
セキュリティ企業Mindgardは、Cursor AI コーディングIDEのWindows任意コード実行脆弱性を開示しました。これは2025年12月にCursorに最初に報告され、Cursorがメール、LinkedIn、またはHackerOneを通じて約7ヶ月間解決しなかった後、2026年7月14日に公開されました。Mindgardは、Windows計算機をgit.exeにリネームしてリポジトリルートに配置することで脆弱性を実証しました。この毒されたリポジトリをCursorで開くだけで自動実行がトリガーされます。
これはAIコーディングアシスタント固有の新しいエージェント実行/信頼境界攻撃クラスです。IDEの自動化ツール(従来のアプリケーション脆弱性ではない)は、信頼されていないリポジトリから調達された攻撃者制御コードを静かに実行し、開発者マシン上でRAT、ランサムウェア、認証情報盗難、またはソースコード流出を可能にします。現在のところパッチはありません。
攻撃者がgit.exeという名前の悪意あるバイナリをGitリポジトリのルートに公開または配置します。Cursorのgitパス解決ロジックはシステムPATHにフォールバックする前にワークスペース自体でgitバイナリを検索します。開発者が毒されたリポジトリをCursorで開くと、悪意あるgit.exeが開発者の権限で自動的に実行されます。クリック、プロンプト、または警告は表示されず、通常の使用中に実行が再発生する可能性があります。
Cursor IDE (Windows)、バージョン3.2.16まで確認済みで、公開前にテストされた最新バージョン(2026年7月)。開示時点ではパッチが未適用です。
開示時点でベンダーパッチは利用できません。Cursorはダークリーディングにこの問題に対処していると述べました。暫定的な緩和策:信頼されていないリポジトリはVM/Windowsサンドボックスなどの隔離環境でのみ開く。企業は開発者ワークスペースディレクトリからのgit.exe実行をブロックするようにAppLockerまたはWindows App Controlポリシーをデプロイすべきです。
Dark ReadingMallory (Cursor IDE Executes Malicious git.exe From Poisoned Repositories)
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →