2025-09-12 00:02:06
Порція вечірніх цікавинок)
У редакторі коду Cursor знайдена вразливість, яка наражає розробників на ризик автоматичного виконання шкідливого коду одразу після відкриття репозиторію.
Дослідники Oasis Security виявили, що проблема виникає через те, що Cursor відключає функцію Workspace Trust, яка за замовчуванням працює у VS Code. Вона блокує автоматичне виконання завдань без явної згоди розробників.
На відміну від VS Code, у конфігурації за замовчуванням Cursor виконує завдання одразу після відкриття папки проекту. Зловмисник може скористатися цим, додавши шкідливий файл .vscode/tasks.json до загальнодоступного репозиторію.
«Коли користувач відкриває такий репозиторій з Cursor, навіть для простого перегляду, у його середовищі може бути запущено довільний код. Це може призвести до витоку конфіденційних облікових даних», — кажуть дослідники з Oasis Security.
А ми з вами на сьогодні прощаємося 🙌
До зустрічі завтра!
Бережіть себе! 💙💛
У редакторі коду Cursor знайдена вразливість, яка наражає розробників на ризик автоматичного виконання шкідливого коду одразу після відкриття репозиторію.
Дослідники Oasis Security виявили, що проблема виникає через те, що Cursor відключає функцію Workspace Trust, яка за замовчуванням працює у VS Code. Вона блокує автоматичне виконання завдань без явної згоди розробників.
На відміну від VS Code, у конфігурації за замовчуванням Cursor виконує завдання одразу після відкриття папки проекту. Зловмисник може скористатися цим, додавши шкідливий файл .vscode/tasks.json до загальнодоступного репозиторію.
«Коли користувач відкриває такий репозиторій з Cursor, навіть для простого перегляду, у його середовищі може бути запущено довільний код. Це може призвести до витоку конфіденційних облікових даних», — кажуть дослідники з Oasis Security.
А ми з вами на сьогодні прощаємося 🙌
До зустрічі завтра!
Бережіть себе! 💙💛