漏洞  ·  2026-07-17

Cursor Cloud Agent — 未经身份验证的本地代理端点导致沙箱 RCE 和通过浏览器启用的会话进行凭证盗取

漏洞High 影响GlobalCVE-2026-61613
在 2026 年 3 月 31 日修复之前,Cursor 的浏览器启用的 Cloud Agent 会话暴露了一个未经身份验证的本地代理端点,可从代理浏览器内呈现的任何网络内容访问,允许代理访问的恶意网页枢转到代理自身沙箱会话内的代码执行。
这是一种跨边界攻击,其中 AI 编码代理浏览的不受信任的网络内容可以逃逸到代理的执行沙箱中并窃取会话凭证(包括 GitHub App 令牌),展示了一种新颖的代理执行攻击类别,结合了浏览器使用工具和未经身份验证的本地控制平面端点。
攻击者控制的网络内容加载到启用浏览器的 Cursor Cloud Agent 会话中,可以从代理容器内连接到未经身份验证的本地代理端点,在沙箱内实现代码执行,并泄露该会话可用的文件、环境变量、凭证和 GitHub App 访问令牌。
Cursor Cloud Agent(浏览器启用的会话),已于 2026-03-31 修复
Cursor 在 2026 年 3 月 31 日通过在受影响的本地代理端点上要求身份验证来修复;确保 Cursor Cloud Agent 客户端已更新至修复版本之后。参见 GHSA-whx2-4gvm-m3r3。
GitHub Security Advisory GHSA-whx2-4gvm-m3r3NVD CVE-2026-61613
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →