Cursor'da Kritik Güvenlik Açığı: Depo Açmak Bile Yetiyor Dünya Geneli

Cursor'da Kritik Güvenlik Açığı: Depo Açmak Bile Yetiyor

Cursor AI editöründe keşfedilen güvenlik açığı, geliştiricinin sadece bir depo açmasıyla kötü amaçlı kod çalıştırılmasına izin veriyor.

Popüler yapay zeka destekli kod editörü Cursor, kullanıcılarını tehlikeye atabilecek ciddi bir güvenlik açığıyla karşı karşıya. Mindgard tarafından keşfedilen ve henüz yamalanmamış olan bu açık, geliştiricilerin sadece bir proje deposu açmasıyla kötü amaçlı kod çalıştırılmasına olanak tanıyor. 7 milyondan fazla aktif kullanıcısı bulunan Cursor, AI destekli geliştirme ortamları arasında en popüler araçlardan biri olarak öne çıkıyor.

Mindgard'ın raporuna göre güvenlik açığı, Cursor'un bir depoyu açarken proje kök dizininde bulunan kötü niyetli bir git.exe dosyasını otomatik olarak çalıştırmasından kaynaklanıyor. Bu işlem sırasında kullanıcıya herhangi bir uyarı yapılmıyor veya onay istenmiyor. Mindgard, bu açığın teorik olmadığını ve karmaşık bir saldırı zinciri gerektirmediğini vurguluyor: Sadece bir geliştiricinin, kök dizininde git.exe bulunan bir projeyi açması yeterli.

Güvenlik araştırmacıları, sorunun Cursor'un Git ikili dosyalarını ararken çalışma alanının kendisini de arama yollarına dahil etmesinden kaynaklandığını belirtiyor. Eğer bir saldırgan, deposunun kök dizinine kötü niyetli bir git.exe yerleştirirse, Cursor bu dosyayı otomatik olarak çalıştıracak. Bu işlem sırasında kullanıcıya herhangi bir uyarı veya onay penceresi gösterilmiyor.

Detaylar ve Etkileri

Mindgard, güvenlik açığını ilk olarak 15 Aralık 2025'te Cursor'a bildirdi. Ancak yedi ay boyunca herhangi bir yanıt alamayınca açığı kamuoyuna duyurma kararı aldı. Cursor'un CISO'su, Ocak ayında Mindgard'ı HackerOne üzerinden yürütülen hata ödül programına davet etti. Burada güvenlik açığı yeniden raporlandı ve doğrulandı, ancak yine de Cursor'dan herhangi bir yanıt gelmedi.

Sonuç ve Değerlendirme

Mindgard, koordineli açıklama sürecinin işe yaramadığını belirterek, 'Koordineli açıklama ancak koordinasyon olduğunda işe yarar. İlk bildirimden yedi ay sonra, kullanıcıların korunduğuna, bir düzeltmenin yolda olduğuna veya etkilenen kuruluşların bilgilendirildiğine dair hiçbir işaret yok. Bu noktada bilgiyi saklamak kullanıcılara değil, sessizliğe hizmet ediyor.' ifadelerini kullandı.

Sistem Güvenliği

Geliştiricilerin bu açığa karşı alabileceği önlemler arasında, güvenilmeyen kaynaklardan gelen projeleri açmadan önce kök dizinde şüpheli dosyalar olup olmadığını kontrol etmek, Cursor'un Git yapılandırmasını incelemek ve mümkünse alternatif bir AI kod editörü kullanmak yer alıyor. Cursor'un bu açığı ne zaman yamalayacağı ise henüz bilinmiyor.

Kaynak: securityweek.com

Paylaş: