
0day в Cursor: уязвимость, которую 7 месяцев игнорировали
Компания Mindgard раскрыла 0day в Cursor IDE: вредоносный git.exe в репозитории запускается автоматически без единого клика. Патча нет уже 7 месяцев.
Cursor молча раздаёт уязвимость 7 миллионам разработчиков
Компания Mindgard опубликовала полное раскрытие (full disclosure) критической уязвимости в популярном AI-редакторе кода Cursor. Суть проста: если в корне открытого репозитория на Windows лежит файл git.exe, Cursor выполнит его автоматически — без предупреждений, диалогов и каких-либо действий со стороны пользователя. Уязвимость была обнаружена 15 декабря 2025 года и до сих пор не исправлена.
Как работает уязвимость
При открытии проекта Cursor пытается найти системный инструмент Git в нескольких локациях — в том числе в самой папке рабочего пространства (workspace). Если злоумышленник заранее поместил в корень репозитория вредоносный файл с именем git.exe, IDE запустит его как часть своей стандартной логики поиска Git-бинарников.
Для демонстрации исследователи Mindgard взяли безобидное приложение — «Калькулятор» Windows, переименовали его в git.exe и положили в корень тестового репозитория. После открытия проекта Cursor начал запускать этот файл снова и снова — без каких-либо действий исследователя. На экране появлялось всё больше окон калькулятора.
«Если взять троян удалённого доступа, программу-вымогатель или любой другой исполняемый файл и просто назвать его git.exe — он запустится без ограничений на машине разработчика сразу после открытия репозитория» — Aaron Portnoy, CPO Mindgard
В реальной атаке calc.exe заменяется любым вредоносным кодом. Результат — arbitrary code execution (выполнение произвольного кода) с правами текущего пользователя.
4:25:12 PM Cursor.exe Process Create
c:\...\git_exec0001\git.exe SUCCESS
Command line: git rev-parse --show-toplevel
Фрагмент лога Sysinternals Process Monitor: Cursor.exe сам запускает git.exe из папки репозитория
graph TD
A[Разработчик клонирует репозиторий] --> B[В корне лежит вредоносный git.exe]
B --> C[Cursor открывает проект]
C --> D[IDE ищет Git-бинарник в workspace]
D --> E[Cursor запускает git.exe без предупреждения]
E --> F[Произвольный код выполнен под правами пользователя]
F --> G[Повторный запуск по таймеру — снова и снова]
7 месяцев молчания
История взаимодействия Mindgard с Cursor — отдельный повод для беспокойства.
| Дата | Событие |
|---|---|
| 15 дек. 2025 | Mindgard обнаружила уязвимость и немедленно сообщила Cursor |
| Янв–Май 2026 | Многократные повторные уведомления — через email, LinkedIn, HackerOne |
| Весна 2026 | CISO Cursor подтвердил: внутренний сбой автоматизации помешал обработке отчёта |
| Весна 2026 | Отчёт первоначально закрыт как «информационный» и вне скоупа |
| Май 2026 | HackerOne воспроизвёл уязвимость и подтвердил её Cursor |
| Июнь 2026 | Все запросы о статусе остались без ответа |
| 14 июля 2026 | Mindgard публикует полное раскрытие — патча по-прежнему нет |
За это время Cursor выпустил более 70 новых версий с новыми функциями — и ни одного исправления этой проблемы.
Что делать прямо сейчас
.exe-файлов из директорий рабочих пространств разработчиков. Рекомендуется использовать правила на основе пути (path-based rules), а не хеша файла — атакующий может легко заменить бинарник с другим хешем. Пример маски пути: %USERPROFILE%\source\repos\*\filename.exe.Почему это важнее, чем кажется
Исследователь Aaron Portnoy, спроектировавший первые шесть соревнований Pwn2Own, отметил, что уязвимость исключительно легко эксплуатировать — и её несложно было бы исправить. По его оценке, изменение кода заняло бы около пяти минут.
Cursor — не единственный AI-редактор с проблемами безопасности. Ранее в 2026 году были раскрыты CVE-2026-26268 (уязвимость через Git-хуки, исправлена в Cursor 2.5) и пара критических багов DuneSlide (CVE-2026-50548 и CVE-2026-50549, CVSS 9.8, исправлены в Cursor 3.0). Однако в отличие от тех случаев, текущая уязвимость от Mindgard так и не получила CVE и официального исправления.
Главный вопрос, который задаёт Mindgard: если вендор месяцами не реагирует на простой, высокоимпактный баг — продолжая при этом распространять уязвимое ПО среди миллионов пользователей — зачем вообще нужен процесс security disclosure?
Пользователи заслуживают базовой защиты от базовых угроз.
Полное раскрытие стало единственным способом дать организациям возможность принять осознанное решение о рисках.