Une faille dans l’agent IA de Cursor permet aux référentiels malveillants de déclencher l’exécution de code arbitraire via des opérations Git de routine, désormais corrigées dans la version 2.5.
Les chercheurs en sécurité ont révélé une vulnérabilité de haute gravité affectant l’IDE Cursor, permettant l’exécution de code arbitraire sur la machine d’un développeur via une interaction apparemment routinière avec le référentiel.
Selon les conclusions de la plateforme de tests d’IA Novee Security, une fois qu’un développeur a cloné et interagi avec un référentiel malveillant, l’agent d’IA de l’EDI pourrait déclencher une logique Git intégrée, entraînant l’exécution de code contrôlé par l’attaquant.
La faille pourrait être utilisée pour permettre à l’agent IA (via une injection rapide) d’écrire dans des configurations Git mal protégées, ce qui pourrait permettre un RCE hors sandbox au prochain déclencheur. Il est maintenant corrigé par Cursor, sans aucune indication d’exploitation dans la nature pour l’instant.
Utiliser une fonctionnalité Git légitime pour l’exécution de code
L’exploit dépend des fonctionnalités standard de Git, notamment des hooks Git et des référentiels Bare. Les hooks sont des scripts qui s’exécutent automatiquement lors d’événements tels que les pré-validations ou les post-extractions, tandis que les référentiels nus sont des référentiels qui contiennent uniquement des métadonnées de contrôle de version et peuvent être imbriqués dans d’autres référentiels.
Selon Novee, un attaquant pourrait intégrer un référentiel nu malveillant dans un projet par ailleurs légitime et y installer un hook de pré-commit nuisible. Lorsque l’agent IA de Cursor effectue une opération de routine, comme une extraction git déclenchée par une invite de haut niveau, il peut exécuter ce hook. Cela entraînerait l’exécution automatique du code d’un attaquant distant sur la machine du développeur.
Levkovich a noté que le comportement sous-jacent de Git autorisant le chemin d’attaque est bien documenté, mais ce qui est différent ici, c’est que Cursor décide de manière autonome d’exécuter des opérations Git (exécution de hooks) qui aboutissent finalement à l’exécution de code.
La faille est identifiée comme CVE-2026-26268, avec un indice de gravité critique de 9,9 sur 10 attribué par NVD, et affecte les versions de Cursor antérieures à 2.5. « L’évasion du bac à sable via l’écriture de la configuration .git était possible dans les versions antérieures à 2.5 », lit-on dans une description NVD de la faille. « Un agent malveillant (c’est-à-dire une injection rapide) pourrait écrire dans des paramètres .git mal protégés, y compris des hooks git, ce qui pourrait provoquer un RCE hors sandbox la prochaine fois qu’ils seraient déclenchés. »
Surface d’attaque étendue avec les IDE agents
Novee a averti que même si les IDE traditionnels sont passifs, faisant ce que les développeurs leur disent explicitement de faire, l’agent IA de Cursor interprète l’intention et décide de manière autonome quelles commandes exécuter, ce qui inclut les opérations Git. Et c’est là que réside le problème.
« Dans le cadre des tests d’intrusion traditionnels, les attaques « côté client » ciblant les machines des développeurs ont toujours été un vecteur connu », a noté Levkovich. « Mais ils s’appuyaient sur une erreur de l’utilisateur ou sur un manque de vigilance, nécessitant généralement un certain degré d’action délibérée de la part de la victime : ouvrir un fichier malveillant, exécuter un script, cliquer sur un lien. »
La sécurité s’appuie depuis longtemps sur des IDE fiables et sur l’action humaine comme garanties, mais les agents d’IA suppriment ces deux contraintes, a-t-il ajouté.
Comme le chemin d’attaque ne nécessite pas de phishing ou d’incitation de l’utilisateur à exécuter des scripts au-delà du clonage du référentiel nu, et que le code malveillant s’exécute dans le cadre du flux de travail de développement normal, il est assez difficile à détecter.
Néanmoins, Cursor a contesté la note critique de NVD concernant la faille et a plutôt émis son propre score CVSS de haute gravité de 8,0 sur 10. La faille est corrigée dans la version 2.5 de Cursor.
