Cursor IDE : faille 0day non corrigée après 7 mois
Original : Cursor 0day: When Full Disclosure Becomes the Only Protection Left
Pourquoi c'est important
Une faille non corrigée dans un IDE utilisé par 50 000 entreprises représente un risque majeur pour la chaîne d'approvisionnement logicielle.
Mindgard a divulgué publiquement une faille critique dans Cursor IDE (7 millions d'utilisateurs actifs) : l'ouverture d'un dépôt contenant un fichier git.exe malveillant à la racine déclenche une exécution de code arbitraire sans aucune interaction utilisateur. Signalée le 15 décembre 2025, la vulnérabilité reste présente après 197+ versions.
La société de sécurité Mindgard a procédé à une divulgation publique complète d'une vulnérabilité 0day affectant Cursor, l'environnement de développement assisté par IA, après sept mois sans réponse du fabricant.
Le mécanisme est simple : après le chargement d'un projet, Cursor tente de localiser les binaires git à plusieurs emplacements, y compris la racine du dépôt ouvert. Si un fichier git.exe malveillant est présent à cet endroit, l'IDE l'exécute automatiquement, de façon répétée et sans aucune action de l'utilisateur — aucune invite, aucun dialogue de confirmation, aucun avertissement.
Mindgard a signalé la faille le 15 décembre 2025 via l'adresse e-mail de sécurité publiée dans le fichier security.txt de Cursor, puis a relancé à plusieurs reprises et tenté une prise de contact publique. Malgré 197 nouvelles versions publiées depuis, la vulnérabilité demeure non corrigée dans la dernière version testée.
Cursor revendique plus de 7 millions d'utilisateurs actifs, 1 million d'utilisateurs quotidiens, 1 million d'abonnés payants et une adoption par plus de 50 000 entreprises, pour une valorisation reportée de 60 milliards de dollars.
En attendant un correctif, Mindgard recommande aux administrateurs Windows d'utiliser AppLocker ou Windows App Control pour bloquer l'exécution de binaires suspects depuis les répertoires de travail, et aux utilisateurs particuliers d'ouvrir les dépôts non fiables uniquement dans une VM isolée ou Windows Sandbox.