CVE-2026-26268

Nome do Software Vulnerável e Versões Afetadas Cursor versões anteriores a 2.5

Descrição Uma fuga de sandbox permite a execução remota de código (RCE) quando o agente de IA realiza autonomamente operações do Git. Um ator malicioso pode ocultar scripts em hooks do Git escondidos em repositórios bare aninhados ou usar injeção de prompt para escrever em configurações .git inadequadamente protegidas. Quando o agente de IA executa comandos rotineiros, como git checkout, esses hooks são acionados automaticamente sem interação, avisos ou solicitações do usuário, levando à execução de código não autorizado na máquina do desenvolvedor. Este problema é facilitado pela capacidade do agente de IA de executar comandos em nível de sistema e sua interação com o arquivo Cursor Rules.

Recomendações Atualize para a versão 2.5 ou superior.