脆弱性  ·  2026-07-17

Cursor Cloud Agent — 認証されていないローカルエージェントエンドポイントがブラウザ有効セッション経由のサンドボックス RCE および認証情報窃盗を可能にする

脆弱性High 影響度GlobalCVE-2026-61613
2026-03-31 の修正前に、Cursor のブラウザ有効 Cloud Agent セッションは、エージェントのブラウザ内でレンダリングされたあらゆるウェブコンテンツから到達可能な認証されていないローカルエージェントエンドポイントを公開し、エージェント訪問の悪意あるウェブページがエージェント自身のサンドボックス化されたセッション内のコード実行にピボットすることを許可しました。
これは AI コーディングエージェントが閲覧する信頼できないウェブコンテンツがエージェントの実行サンドボックスに逃げて、セッション認証情報(GitHub App トークンを含む)を盗むことができる境界を越えた攻撃です。これはブラウザ使用ツーリングと認証されていないローカルコントロールプレーンエンドポイントを組み合わせた新規エージェント実行攻撃クラスを実証しています。
攻撃者制御のウェブコンテンツが Cursor Cloud Agent セッションのブラウザ有効内に読み込まれることで、認証されていないローカルエージェントエンドポイントから内部エージェントコンテナに接続し、サンドボックス内でコード実行を達成し、そのセッションで利用可能なファイル、env vars、認証情報、および GitHub App アクセストークンを流出させることができました。
Cursor Cloud Agent(ブラウザ有効セッション)、2026-03-31 で修正
影響を受けたローカルエージェントエンドポイントで認証を要求することで Cursor によって 2026-03-31 に修正されました。Cursor Cloud Agent クライアントが修正を超えて更新されていることを確認してください。GHSA-whx2-4gvm-m3r3 を参照してください。
GitHub Security Advisory GHSA-whx2-4gvm-m3r3NVD CVE-2026-61613
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →