Zranitelnost Cursor: Když plné zveřejnění zůstává jedinou ochranou

Cursor čelí vážné zranitelnosti, která umožňuje spuštění škodlivého kódu bez interakce uživatele. Jaká je reakce společnosti?

15. července 2026

Cursor, populární vývojové prostředí s více než 7 miliony aktivních uživatelů a více než 50 000 firem, čelí vážné zranitelnosti, která umožňuje spuštění škodlivého kódu bez jakékoli interakce uživatele. Tato zranitelnost byla poprvé identifikována 15. prosince 2025 a od té doby se ukázalo, že Cursor na ni nereagoval adekvátně, což vyvolalo obavy o bezpečnost uživatelů.

Zranitelnost spočívá v tom, že Cursor automaticky spouští soubor git.exe umístěný v kořenovém adresáři projektu. To znamená, že pokud útočník umístí škodlivý git.exe do repozitáře a uživatel otevře tento repozitář v Cursoru, kód se spustí bez jakýchkoli varování nebo potvrzení. Tento problém je alarmující, protože umožňuje libovolné spuštění kódu, což představuje vážné bezpečnostní riziko.

Mindgard, bezpečnostní výzkumná skupina, opakovaně kontaktovala Cursor ohledně této zranitelnosti, ale nedostala žádnou smysluplnou odpověď. I přes více než 197 aktualizací Cursoru v průběhu sedmi měsíců zůstala zranitelnost neopravená. To vyvolává otázky o procesu řízení bezpečnosti v této společnosti a o tom, jak se stará o své uživatele.

Mindgard použil neškodnou ukázku kódu, přejmenováním aplikace Windows Calculator na git.exe, aby demonstroval, jak snadno může být zranitelnost zneužita. Tímto způsobem ukázali, že exploatace nevyžaduje žádné složité techniky, ale pouze otevření projektu s infikovaným souborem.

Vzhledem k absenci reakce ze strany Cursoru se Mindgard rozhodl zveřejnit podrobnosti o zranitelnosti, protože Cursor neprojevil žádný pokrok v jejím řešení. Tento krok je považován za nezbytný, protože uživatelé potřebují být informováni o rizicích, kterým čelí, a mít možnost přijmout opatření na ochranu svých systémů. Mindgard doporučuje, aby uživatelé, kteří pracují s neověřenými repozitáři, používali izolované prostředí, jako jsou virtuální stroje nebo Windows Sandbox, dokud nebude zranitelnost opravena.

Tato situace ukazuje, jak důležité je pro společnosti reagovat na bezpečnostní problémy a komunikovat s uživateli. Když se zranitelnosti ignorují, důvěra uživatelů může být vážně narušena, což má dlouhodobé důsledky pro reputaci společnosti.

Zranitelnost se týká pouze verzí Cursoru, které byly testovány, a nemusí se vztahovat na budoucí aktualizace.