Cursorに「リポジトリを開くだけ」で任意コードが実行される脆弱性、報告から7カ月たっても修正されず研究者が全容公開

AIを使ったプログラミング支援機能を備えるコードエディター「Cursor」のWindows版で、細工されたリポジトリを開くだけで任意のプログラムが自動実行される脆弱(ぜいじゃく)性が見つかりました。発見したAIセキュリティ企業のMindgardは2025年12月にCursorへ報告したものの、約7カ月にわたり修正されず、十分な進捗報告も得られなかったとして2026年7月14日に脆弱性の詳細を公開しました。
Cursor 0day: When Full Disclosure Becomes the Only Protection Left - Mindgard
https://mindgard.ai/blog/cursor-0day-when-full-disclosure-becomes-the-only-protection-left

Cursor IDE Auto-Executes Malicious Code in Poisoned Repos
https://www.darkreading.com/application-security/cursor-ide-malicious-code-poisoned-repos
GitHubで見つけたサンプルプログラムを手元で確認したり、外部の開発者から送られたコードを調べたりする際、開発者はリポジトリをダウンロードしてコードエディターで開きます。Cursorはプロジェクトを読み込む際、Gitを利用するために実行ファイルを複数の場所から探します。
Mindgardの解析で、検索先に作業中のリポジトリも含まれていることが判明しました。リポジトリの最上位に悪意ある「git.exe」を置いておくと、攻撃者が用意したgit.exeがCursorによって実行されてしまうというわけです。
git.exeの実行にボタン操作やAIへの指示は必要なく、警告や確認画面も表示されず、Cursorでリポジトリを開くだけで自動的に起動してしまうとのこと。プログラムはログイン中のユーザーと同じ権限で動作するため、git.exeが悪意のあるプログラムだった場合、ログイン中のユーザーの権限で任意の処理を実行される可能性があります。
Mindgardは安全な実証実験として、Windowsの電卓アプリをgit.exeに改名してリポジトリへ配置しました。Cursorでリポジトリを開くと電卓が起動し、リポジトリを開いたままにすると電卓が繰り返し実行されて複数のウィンドウが表示されたとのこと。2026年4月30日にはWindows版Cursor 3.2.16で引き続き脆弱性が存在することを確認したとしています。

Mindgardが脆弱性を発見してCursorのセキュリティ窓口へ報告したのは2025年12月15日です。受領確認がなかったため連絡を重ねたところ、2026年1月15日にCursorの最高情報セキュリティ責任者が回答し、社内の自動処理が失敗したためHackerOneの非公開バグ報奨金プログラムへ招待できていなかったと説明しました。
HackerOneへ提出された報告は当初「参考情報であり対象外」として終了されましたが、Mindgardが異議を申し立てるとHackerOne側で問題の再現が確認され、2026年1月20日にはCursorへ情報が渡りました。しかし2月から4月にかけて送られた複数回の問い合わせに対してCursorから回答がなく、6月1日にMindgardが一般公開の意向を伝えた後も修正状況は明らかにならなかったと説明されています。
修正版が提供されるまでの対策として、Mindgardは信頼できないリポジトリをWindows Sandboxや使い捨ての仮想マシンで開くよう呼びかけています。企業の管理端末では、実行可能なアプリを制限する「AppLocker」や「Windows App Control」を使い、開発用フォルダーに置かれたgit.exeの起動を拒否する方法も挙げられています。攻撃者がgit.exeの内容を変更すればハッシュ値も変わるため、特定ファイルのハッシュ値だけを登録する遮断方法には頼るべきではないとのこと。
記事作成時点で、Cursorの公式サイトでは修正版の番号や本件に関するセキュリティ告知を確認できません。一方でCursorの広報担当者は本件を報じたDark Readingに対し「2026年7月13日に問題へ対応しており、Mindgardにも連絡する」と回答したとのことです。
・関連記事
ホンダ・シビックに任意のコードを実行可能な脆弱性「EvilValet」が見つかる - GIGAZINE
1100万DLのYouTube広告ブロック拡張に「サーバー変更だけで任意JavaScript実行可能」との指摘 - GIGAZINE
A12およびA13チップ搭載のAppleデバイスでパッチ不可能な脆弱性「usbliter8」が見つかる - GIGAZINE
老舗圧縮解凍ソフト「WinRAR」でファイルを開くだけで任意コード実行を可能にする脆弱性が発見される、すでに修正版が配布済み - GIGAZINE
iPhoneで悪意のあるファイルを受信するだけで任意のコードが実行されてしまうエクスプロイト「BLASTPASS」が発見される、悪名高いスパイウェアの配布にも活用されているとしてAppleがソフトウェアアップデートを配信済み - GIGAZINE
・関連コンテンツ
in ソフトウェア, セキュリティ, Posted by log1d_ts
You can read the machine translated English article A vulnerability in Cursor that allows ar….







