Asayomu Tech
最重要★★★★★Hacker News

Cursor に任意コード実行 0day、6 カ月放置で全公開へ

30秒で把握

  • 1Cursor が Windows で git.exe を無警告自動実行する RCE、Mindgard が 6 カ月放置後に完全公開
  • 2700 万ユーザー・60 億ドル企業・1 万社利用の環境で修正なし・ベンダー応答途絶が完全公開の理由
  • 3本番運用チームは信頼リポジトリのみに限定・疑わしいプロジェクトは隔離 VM で開く・代替ツール評価を開始

要約

セキュリティ研究機関 Mindgard は、AI コーディングツール Cursor に深刻な 0day 脆弱性を発見・報告した。Windows 環境でプロジェクトを開く際、リポジトリルートに置かれた malicious git.exe を Cursor が自動実行し、ユーザーの操作や警告なしに任意コード実行が発生する。2025 年 12 月から報告・追跡を続けたが 6 カ月以上応答がなく、Cursor は 70 版以上をリリースしながら修正を進めず、Mindgard は完全公開による保護を決定した。既存の回避策は、エンタープライズ環境では AppLocker/Windows App Control で実行を制限し、一般ユーザーは信頼できないリポジトリを分離環境で開くこと。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。