Die Schwachstelle betrifft den KI-gestützten Code-Editor Cursor. Sie liegt in der Art und Weise, wie Cursor sogenannte MCP-Konfigurationsdateien behandelt, über die externe Hilfsdienste eingebunden werden. Hat ein Nutzer eine solche Konfiguration einmal als vertrauenswürdig akzeptiert, kann ein Angreifer den hinterlegten harmlosen Eintrag später unbemerkt gegen einen schädlichen Befehl austauschen – ohne dass Cursor erneut warnt oder eine Bestätigung verlangt. Ausnutzbar ist das auf zwei Wegen: Entweder verändert der Angreifer die bereits genehmigte Konfigurationsdatei in einem gemeinsam genutzten GitHub-Repository, auf dessen aktive Branches er Schreibrechte besitzt, oder er bearbeitet die Datei direkt lokal auf dem Zielrechner, sofern er dort beliebige Dateien schreiben kann. In beiden Fällen führt Cursor den untergeschobenen Befehl aus, wodurch der Angreifer beliebigen Code aus der Ferne und dauerhaft ausführen kann. Besonders heikel ist das in Teams, die Repositories gemeinsam bearbeiten.