#0day

8/10

Cursor IDE 存在一个零日漏洞,可在无需用户提示的情况下执行任意 .exe 文件,且向厂商披露后超过六个月仍未修复。 该漏洞对 Cursor 用户构成重大安全风险,拥有本地访问权限的攻击者可静默执行恶意代码。厂商的不回应态度引发了对负责任的披露实践和用户信任的担忧。 该漏洞由 Mindgard 于 2025 年 12 月 15 日首次报告,但 Cursor 在 HackerOne 上将其标记为“信息性”并关闭,后重新打开并确认问题。利用该漏洞需将名为 git.exe 的恶意文件放入用户代码文件夹,利用了 Windows 的当前目录搜索顺序。