Cursor — это редактор кода, созданный для программирования с помощью ИИ. Выход из песочницы через запись конфигурации .git был возможен в версиях до 2.5. Вредоносный агент (т. е. быстрое внедрение) может записать данные в неправильно защищенные настройки .git, включая перехватчики git, что может привести к выходу RCE из «песочницы» при следующем запуске.
Никакого вмешательства пользователя не требовалось, поскольку Git выполняет эти команды автоматически. Исправлено в версии 2.5.
Показать оригинальное описание (EN)
Cursor is a code editor built for programming with AI. Sandbox escape via writing .git configuration was possible in versions prior to 2.5. A malicious agent (ie prompt injection) could write to improperly protected .git settings, including git hooks, which may cause out-of-sandbox RCE next time they are triggered. No user interaction was required as Git executes these commands automatically. Fixed in version 2.5.
Характеристики атаки
Последствия
Строка CVSS v3.1