Критична вразливість 0day у Cursor автоматично запускає шкідливі бінарники git.exe
Критична вразливість у Cursor автоматично запускає шкідливий виконуваний файл git.exe у корені репозиторію без жодних запитів про підтвердження. Розробники на Windows піддаються ризику повторного виконання довільного коду при відкритті сторонніх проектів.
Чому це важливо
Оскільки Cursor використовують мільйони розробників, ця вразливість нульового дня створює серйозний ризик для безпеки робочого середовища на Windows, адже для активації шкідливого коду достатньо просто відкрити проект.
TL;DR
- 01Cursor автоматично запускає файл git.exe з кореня репозиторію відразу після відкриття проекту.
- 02Вразливість дозволяє здійснювати повторний запуск довільного коду без будь-якої взаємодії з користувачем.
- 03Корпоративним користувачам рекомендується налаштувати політики AppLocker, а індивідуальним — використовувати пісочниці.
Ключові факти
- Дата виявлення
- 15 грудня 2025
- Цільова ОС
- Windows
- Тип вразливості
- Елемент неконтрольованого шляху пошуку (виконання довільного коду)
Вектор атаки
Вразливість виникає через логіку визначення шляхів до Git у Cursor на Windows. Коли розробник відкриває робочу область, IDE намагається локалізувати бінарні файли Git у кількох місцях, зокрема у корені самого репозиторію. Якщо виконуваний файл git.exe присутній у корені проекту, середовище запускає його автоматично без жодних запитів про підтвердження.
Цикл безперервного запуску
У межах демонстрації вразливості спеціалісти з Mindgard перейменували стандартний додаток Windows Calculator на git.exe та поклали його в корінь проекту. Cursor автоматично запустив цей файл і продовжував періодично створювати нові процеси калькулятора під час роботи з проектом, надсилаючи команди на зразок git rev-parse --show-toplevel.
Практичні заходи безпеки
Оскільки офіційного патчу наразі немає, розробникам на Windows слід захистити себе самостійно: 1. Політики AppLocker: Системні адміністратори компаній можуть налаштувати правила блокування виконання файлів у каталогах розробки на кшталт %USERPROFILE%\\source\\repos\\*\\filename.exe. Не варто покладатися на чорні списки хешів, оскільки зловмисники можуть легко змінювати хеш-суму файлу. 2. Ізоляція робочого середовища: Відкривайте будь-які сторонні або сумнівні репозиторії виключно всередині ізольованої віртуальної машини, Windows Sandbox або контейнера.