CVE-2025-49150

Nome do Software Vulnerável e Versões Afetadas Versões do Cursor anteriores a 0.51.0

Descrição A vulnerabilidade permite que um atacante dispare uma solicitação HTTP GET arbitrária sem confirmação do usuário ao escrever um arquivo JSON. Isso poderia potencialmente ser usado para exfiltrar dados caso um agente malicioso obtenha acesso, por exemplo, após um ataque de injeção de prompt bem-sucedido. A causa raiz é a configuração json.schemaDownload.enable estar definida como True por padrão antes da versão 0.51.0.

Recomendações Para versões anteriores a 0.51.0, atualize para a versão 0.51.0 para resolver o problema. Como solução temporária, considere definir a configuração json.schemaDownload.enable como False para impedir solicitações HTTP GET arbitrárias.