Die Schwachstelle ist eine Prompt-Injection in Windsurf und erlaubt es entfernten Angreifern, beliebige Befehle auf dem System des Opfers auszuführen. Auslöser ist, wie Windsurf von Angreifern kontrollierte HTML-Inhalte verarbeitet: In diesen Inhalten versteckte, bösartige Anweisungen werden von der Anwendung als Handlungsvorgaben aufgefasst. Dadurch lässt sich die lokale MCP-Konfiguration unbemerkt verändern und ein bösartiger MCP-Server mit STDIO-Anbindung automatisch registrieren. Über diesen eingeschleusten Server kann der Angreifer beliebige Befehle ausführen, ohne dass das Opfer weitere Aktionen vornehmen muss. Die Folgen reichen weit: Befehle werden im Namen des Nutzers ausgeführt, die manipulierte MCP-Konfiguration bleibt dauerhaft bestehen und schafft so einen fortbestehenden Zugang, und der Angreifer kann auf sensible Informationen zugreifen, die über die Anwendung erreichbar sind. Gefährlich ist besonders, dass allein die Verarbeitung präparierter Inhalte genügt, um die Kette bis zur Codeausführung auszulösen.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel AWS schließt kritische Lücke in Amazon Q Developer nach Fund von Wiz 29.06.2026
- Artikel Amazon schließt kritische Lücke in Amazon Q Developer bei MCP-Konfigurationen 26.06.2026