Cursor IDE'de Kritik Güvenlik Açığı: Kod Çalıştırma Riski ve Yama Bekleniyor Yazılım

Cursor IDE'de Kritik Güvenlik Açığı: Kod Çalıştırma Riski ve Yama Bekleniyor

Cursor AI IDE'de bulunan yamalanmamış bir güvenlik açığı, geliştiricilerin kötü niyetli bir depoyu açmasıyla otomatik kod çalıştırılmasına olanak tanı

Popüler yapay zeka destekli geliştirme ortamı Cursor'da keşfedilen yamalanmamış bir güvenlik açığı, geliştiricileri ciddi bir riskle karşı karşıya bırakıyor. Güvenlik firması Mindgard'ın raporuna göre, Windows işletim sisteminde çalışan Cursor, bir depo (repository) açıldığında proje kök dizininde bulunan kötü niyetli bir git.exe dosyasını otomatik olarak çalıştırabiliyor. Bu durum, kullanıcıya herhangi bir uyarı veya onay sormadan gerçekleşiyor ve saldırganın kod yürütmesine olanak tanıyor. 7 milyondan fazla aktif kullanıcısı bulunan Cursor, AI destekli kodlama araçları arasında öne çıkarken, bu güvenlik açığı geliştirici topluluğunda endişe yaratmış durumda.

Mindgard'ın analizine göre, güvenlik açığı karmaşık bir saldırı zinciri gerektirmiyor. Şirket, "Güvenlik açığı teorik değil ve karmaşık bir istismar zinciri, prompt injection, model manipülasyonu, jailbreak, bellek bozulması veya sofistike saldırı tekniklerine dayanmıyor. İstismar için tek gereken, geliştiricinin kök dizininde git.exe ikili dosyası bulunan bir projeyi açmasıdır," açıklamasında bulundu. Bu basitlik, açığın yaygın bir şekilde istismar edilebilmesini mümkün kılıyor.

Sorunun temelinde, Cursor'un proje yüklenirken Git ikili dosyalarını birden fazla konumda araması yatıyor. Çalışma alanının kendisi de bu konumlar arasında yer alıyor. Mindgard, "Eğer bir saldırgan depo köküne kötü niyetli bir git.exe yerleştirirse, Cursor bunu yol çözümleme mantığının bir parçası olarak otomatik olarak çalıştıracak ve kullanıcıya herhangi bir uyarı, onay veya çalıştırılacak yürütülebilir içerik hakkında bir bildirim göstermeyecektir," şeklinde açıklıyor. Bu, geliştiricinin farkında olmadan kötü amaçlı kod çalıştırmasına neden olabiliyor.

Mindgard, güvenlik açığını 15 Aralık 2025'te Cursor'a bildirdi, ancak yedi ay boyunca herhangi bir yama veya yanıt alamadı. Şirket, Cursor'un CISO'sunun Ocak ayında HackerOne üzerinden kendilerini bug bounty programına davet ettiğini ve burada güvenlik açığının yeniden gönderildiğini ve doğrulandığını belirtti. Ancak, Cursor'dan herhangi bir yanıt gelmedi. Mindgard, "Koordineli ifşa ancak koordinasyon olduğunda işe yarar. İlk bildirimden yedi ay sonra, kullanıcıların korunduğuna, iyileştirme çalışmalarının devam ettiğine veya etkilenen kuruluşların bilgilendirildiğine dair hiçbir işaret yok. Bu noktada, bilgiyi gizli tutmak kullanıcılara değil, sessizliğe hizmet eder," diyerek açığı kamuya duyurma kararı aldıklarını ifade etti.

Uzmanların Görüşleri

Bu güvenlik açığı, geliştiriciler için önemli pratik çıkarımlar sunuyor. Öncelikle, güvenilmeyen kaynaklardan alınan projeleri açarken dikkatli olunmalı ve proje kök dizininde şüpheli dosyalar (özellikle git.exe) olup olmadığı kontrol edilmelidir. Ayrıca, Cursor'un güncellemeleri takip edilmeli ve güvenlik yamaları yayınlandığında hemen uygulanmalıdır. Mindgard, açığın istismar edilmesinin kolay olduğunu vurgularken, geliştiricilerin projelerini açmadan önce dosya bütünlüğünü doğrulamak için güvenlik araçları kullanmalarını öneriyor.

Cursor, bu açığın giderilmesi için henüz resmi bir açıklama yapmamış olsa da, SecurityWeek konuyla ilgili olarak şirkete e-posta gönderdi. Cursor'un yanıt vermesi durumunda makale güncellenecek. Bu olay, AI destekli geliştirme araçlarının güvenliği konusundaki endişeleri artırırken, yazılım geliştirme süreçlerinde güvenlik kontrollerinin önemini bir kez daha hatırlatıyor.

Kaynak: securityweek.com

Paylaş: