ช่องโหว่ Cursor บน Windows ทำให้ไฟล์ git.exe จากรีโพซิทอรี่ปลอมรันโดยอัตโนมัติ

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

ช่องโหว่ Cursor บน Windows ทำให้ไฟล์ git.exe จากรีโพซิทอรี่ปลอมรันโดยอัตโนมัติ

⚡ สรุป 30 วิ

Cursor แอป AI‑powered บน Windows มีช่องโหว่ทำให้ไฟล์ git.exe ในรูทของโปรเจกต์รันโดยอัตโนมัติโดยไม่มีการยืนยัน ผู้โจมตีสามารถใช้เพื่อขโมยคีย์ SSH…

เปิดโครงการใน Cursor บนระบบปฏิบัติการ Windows แล้วพบว่าไฟล์ที่ชื่อ git.exe หากอยู่ในรูทของโปรเจกต์จะถูกเรียกให้ทำงานโดยอัตโนมัติ ไม่มีข้อความเตือนหรือหน้าต่างยืนยันใด ๆ ผู้ใช้จึงเสี่ยงให้โค้ดจากรีโพซิทอรีที่ไม่ปลอดภัยรันบนเครื่องของตนเองได้ทันที เหตุการณ์นี้เป็นความบกพร่องด้านความปลอดภัยที่อาจทำให้ข้อมูลสำคัญ เช่น คีย์ SSH หรือโทเค็นคลาวด์ ถูกขโมยหรือใช้งานโดยผู้โจมตี

Overview

Cursor เป็นแอปพลิเคชันช่วยเขียนโค้ดแบบ AI‑powered ที่ได้รับความนิยมในกลุ่มนักพัฒนา เนื่องจากการผสานรวมกับระบบควบคุมเวอร์ชั่นและความสามารถในการเสนอส่วนเสริมโค้ดโดยอัตโนมัติ อย่างไรก็ตาม ความสะดวกนี้กลับเป็นจุดอ่อนเมื่อพบว่าการเปิดโฟลเดอร์โปรเจกต์บน Windows ทำให้แอปตรวจหาไฟล์ที่ชื่อ git.exe แล้วรันโดยไม่มีการขออนุญาตใด ๆ จากผู้ใช้

จากรายงานของ *The Hacker News* การทำงานนี้เกิดขึ้นทุกครั้งที่โครงการยังคงเปิดอยู่ใน Cursor – แม้ว่าไฟล์นั้นจะเป็นเพียงไบนารีที่ดาวน์โหลดมาจากรีโพซิทอรีภายนอกก็ตาม ซึ่งหมายความว่าผู้โจมตีสามารถฝังมัลแวร์ลงในชื่อไฟล์เดียวกันและให้มันทำงานโดยอัตโนมัติทุกครั้งที่นักพัฒนาต้องการเปิดโค้ด

Key Details

  • ไม่มีหน้าต่างยืนยัน: ระบบไม่แสดงข้อความแจ้งเตือนหรือ dialog ให้ผู้ใช้กดยอมรับการรันไฟล์ .exe ใด ๆ ภายในโปรเจกต์
  • สิทธิ์ของผู้ใช้: ไฟล์ที่ถูกเรียกทำงานจะทำงานภายใต้บัญชีผู้ใช้ปัจจุบัน จึงเข้าถึงไฟล์โค้ด, คีย์ SSH, โทเค็นคลาวด์ และข้อมูลประจำตัวอื่น ๆ ที่บันทึกไว้ในเครื่อง
  • การทำซ้ำอัตโนมัติ: Cursor จะรันไฟล์ดังกล่าวต่อเนื่องตลอดที่โปรเจกต์ยังเปิดอยู่ ไม่ว่าจะมีการแก้ไขหรือไม่ก็ตาม

ข้อบกพร่องนี้แสดงให้เห็นว่าการตรวจสอบความปลอดภัยของไฟล์ระบบในโฟลเดอร์งานไม่ได้รับการดำเนินการอย่างเข้มงวดภายใน Cursor ทำให้ผู้โจมตีที่สามารถอัปโหลดไฟล์ git.exe ไปยังรีโพซิทอรีสาธารณะได้ มีช่องทางในการทำการรันโค้ดระยะไกล (RCE) อย่างง่ายดาย

Technical Analysis

ตามที่นักวิจัยชี้แจง การตรวจจับไฟล์ด้วยชื่อ “git.exe” นั้นเป็นส่วนหนึ่งของฟังก์ชันที่ออกแบบมาเพื่อให้ผู้ใช้สามารถเรียกใช้งานเครื่องมือ Git ภายในแอปได้โดยตรง อย่างไรก็ตาม โค้ดดังกล่าวไม่ได้ทำการเช็คประเภทไฟล์หรือตำแหน่งที่มาของไฟล์ก่อนที่จะสั่งให้ระบบปฏิบัติการโหลดและรัน ไฟล์ .exe ใด ๆ ที่อยู่ในรูทของโปรเจกต์จึงถูกพิจารณาว่าเป็น “Git executable” โดยอัตโนมัติ

การขาดขั้นตอนตรวจสอบเช่น การยืนยันลายเซ็นดิจิทัล หรือการจำกัดให้รันเฉพาะไฟล์ที่มาจากแหล่งที่เชื่อถือได้ ทำให้ช่องโหว่นี้สามารถถูกใช้เพื่อส่งต่อโค้ดอันตรายไปยังระบบของผู้ใช้หลายพันเครื่องได้อย่างรวดเร็ว นอกจากนี้ การที่ Cursor รันไฟล์ดังกล่าวซ้ำ ๆ ตราบใดที่โปรเจกต์เปิดอยู่ ทำให้มัลแวร์มีโอกาสทำงานหลายครั้งโดยไม่มีการตรวจจับ

Impact

ผลกระทบของช่องโหว่นี้อาจครอบคลุมทั้งระดับบุคคลและองค์กร ผู้พัฒนาที่ใช้ Cursor บน Windows อาจไม่รู้ตัวว่าไฟล์ git.exe ที่มาจากรีโพซิทอรีที่ดูเหมือนปลอดภัยได้ทำการขโมยข้อมูลสำคัญ เช่น คีย์ SSH สำหรับเข้าถึงเซิร์ฟเวอร์หรือโทเค็น API ของบริการคลาวด์ การละเมิดเหล่านี้สามารถนำไปสู่การโจมตีต่อระบบหลังบ้าน, การรั่วไหลของข้อมูลลูกค้า หรือแม้กระทั่งการทำให้ระบบปฏิบัติการเสียหายโดยตรง

จากมุมมองด้านความปลอดภัยขององค์กร ผู้จัดการ IT ควรตรวจสอบนโยบายการใช้งาน Cursor อย่างเข้มงวด รวมถึงการกำหนดสิทธิ์การเข้าถึงไฟล์ .exe ภายในโฟลเดอร์โปรเจกต์ และพิจารณาใช้เครื่องมือสแกนมัลแวร์เพิ่มเติมเพื่อคัดกรองไฟล์ที่อาจเป็นอันตรายก่อนนำเข้าไปยังระบบ

Recommendations

  • ผู้ใช้ควร ตรวจสอบชื่อไฟล์ ในโฟลเดอร์โปรเจกต์โดยเฉพาะไฟล์ .exe ที่อาจถูกซ่อนอยู่ในรูทของรีโพซิทอรีที่คลิกดาวน์โหลดมา
  • ทีมพัฒนาควรตั้งค่า การจำกัดสิทธิ์การทำงานของแอป บน Windows ให้ไม่สามารถเรียกใช้ไฟล์ .exe โดยตรงจากโฟลเดอร์โปรเจกต์ได้ หากไม่ได้รับการยืนยันอย่างชัดเจน
  • ผู้จัดการระบบควรพิจารณา อัพเดตเวอร์ชัน Cursor ที่มีการแก้ไขช่องบกพร่องนี้โดยเร็วที่สุด หรือเลือกใช้เครื่องมือ IDE อื่นที่มีกลไกตรวจสอบไฟล์เอ็กซีคิวเทฟอย่างเข้มงวดกว่า
  • การทำ การสแกนความปลอดภัยของรีโพซิทอรี ก่อนนำเข้าโค้ดเข้าสู่ระบบควรเป็นขั้นตอนมาตรฐาน เพื่อป้องกันการนำไฟล์ที่มีลักษณะเป็นอันตรายเข้าสู่กระบวนการพัฒนา

Summary

ความบกพร่องใน Cursor ทำให้ไฟล์ git.exe ที่อยู่ในรูทของโปรเจกต์บน Windows รันโดยอัตโนมัติและไม่มีการแจ้งเตือน ผู้ใช้ต้องระมัดระวังตรวจสอบไฟล์ภายในโฟลเดอร์โปรเจกต์และปรับนโยบายความปลอดภัยให้เข้มงวดเพื่อป้องกันการโจมตีแบบ RCE ที่อาจนำไปสู่การขโมยข้อมูลสำคัญ.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Cursor Flaw Lets Malicious Cloned Repositories Trigger Windows Code Execution
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
15 กรกฎาคม 2569 เวลา 17:55

Related

บทความที่เกี่ยวข้อง

Ubuntu 26.04 เสนอการอัปเกรดความปลอดภัยสำคัญด้วย RustSecurity
20 มิถุนายน 2569 เวลา 22:30

Ubuntu 26.04 เสนอการอัปเกรดความปลอดภัยสำคัญด้วย Rust

Ubuntu 26.04 มาพร้อม GNOME 50 ที่ทำให้หน้าตาเดสก์ท็อปทันสมัย แต่การอัปเดตที่สำคัญที่สุดคือการนำ Rust มาใช้ในยูทิลิตี้ระบบ ลดความเสี่ยงจากช่องโหว่ของ C/C++…

XDA Developers7 นาที
Spotify ปิดการใช้ username ให้เข้าสู่ระบบด้วยอีเมลตั้งแต่ 1 กันยายน 2569Security
19 มิถุนายน 2569 เวลา 10:30

Spotify ปิดการใช้ username ให้เข้าสู่ระบบด้วยอีเมลตั้งแต่ 1 กันยายน 2569

Spotify แจ้งว่าตั้งแต่ 1 กันยายน 2569 ระบบล็อกอินด้วย username จะหยุดใช้งาน ผู้ใช้ต้องเปลี่ยนเป็นอีเมลและรหัสผ่าน การเข้าสู่ระบบด้วย Google หรือ Apple…

Android Authority6 นาที
ช่องโหว่วิกฤต Splunk Enterprise ให้รันโค้ดโดยไม่มีการยืนย…Security
15 มิถุนายน 2569 เวลา 20:00

ช่องโหว่วิกฤต Splunk Enterprise ให้รันโค้ดโดยไม่มีการยืนย…

Splunk ปล่อยแพตช์แก้ช่องโหว่ CVE‑2026‑20253 ที่ให้ผู้ไม่ประสงค์ดีรันโค้ดโดยไม่ต้องยืนยันตัวตนและได้คะแนนความรุนแรง 9.8 ผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชัน 10.2.4…

The Hacker News5 นาที
Broadcom ปรับปรุงความปลอดภัย Spring เพื่อต่อสู้การโจมตีด้…Security
11 มิถุนายน 2569 เวลา 04:00

Broadcom ปรับปรุงความปลอดภัย Spring เพื่อต่อสู้การโจมตีด้…

Broadcom เปิดอัปเดตความปลอดภัย Spring ที่ใหญ่ที่สุดโดยใช้ AI ตรวจจับช่องโหว่และให้แพตช์ zero‑day แก่ลูกค้าองค์กร. การอัปเดตนี้ช่วยลดความเสี่ยงจากการโจมตีด้วย…

InfoWorld8 นาที
คัดลอกลิงก์แล้ว!