CVE-2026-30615: Windsurf MCP Prompt Injection RCE

Executive Summary

A prompt injection vulnerability in Windsurf 1.9544.26 allows unauthorized modification of the local MCP configuration and automatic registration of malicious MCP STDIO servers, leading to arbitrary command execution.

Analyse de la cause racine

L’analyse indique que la vulnérabilité provient d’un traitement non sécurisé des configurations MCP. L’application ne parvient pas à assainir les entrées fournies au format JSON, permettant une injection de commande.

Analyse de l’exploit

Le vecteur d’attaque exploite la logique de configuration de l’adaptateur MCP. En injectant une configuration JSON malveillante contenant des valeurs de commande et d’arguments arbitraires, le processus LiteLLM exécute ces entrées sur le système hôte.

Règles de détection

Sigma

title: Windsurf MCP Prompt Injection RCE Détection
logsource:
  category: process_creation
detection:
  selection:
    CommandLine: '*mcp*register*'
  condition: selection