Разкрити са две критични уязвимости за отдалечено изпълнение на код (RCE) в Cursor IDE — средата за разработка с изкуствен интелект, използвана от над половината компании в Fortune 500.
Cato AI Labs разкри двете слабости, наречени „DuneSlide“, които имат максимална оценка за опасност от 9.8 по CVSS и са заведени като CVE-2026-50548 и CVE-2026-50549. Те позволяват на нападателите напълно да излязат от пясъчника (sandbox) на Cursor.
Уязвимостите демонстрират, че атаките с внедряване на подкани (prompt injection) могат да се разпространят извън манипулирането на изхода на големия езиков модел (LLM) и да достигнат до класическите пътища за изпълнение на код, които досега не са били разглеждани като част от повърхността за атака.
Експлоатацията позволява на злонамерен актьор да презапише критични системни файлове, като например двоичния файл cursorsandbox, превръщайки изолираните терминални команди в напълно неизолирано отдалечено изпълнение на код (RCE). Това компрометира както локалната машина, така и свързаните SaaS работни пространства.
И двата проблема се задействат без никакви потребителски привилегии или умишлено взаимодействие. Жертвата трябва само да подаде на пръв поглед безопасна подкана, която неволно извлича контролирано от нападателя съдържание от ненадежден източник, като например отговор от MCP сървър или компрометиран резултат от уеб търсене.
Cursor 2.x изпълнява терминалните команди на агента вътре в пясъчник автоматично, без да изисква одобрение — дизайн, целящ да намали умората от постоянни потвърждения, като същевременно ограничи докъде може да ескалира едно обикновено внедряване на подкани.
Уязвимост #1: Манипулиране на работната директория (CVE-2026-50548)
Тази уязвимост произтича от начина, по който пясъчникът на Cursor предоставя достъп за запис в работната директория на командата. Тъй като working_directory е незадължителен параметър на инструмента run_terminal_cmd, контролиран от LLM, внедряването на подкана може да насочи агента да я зададе към избран от нападателя път извън корена на проекта. Това позволява запис в чувствителни локации, неутрализирайки ограниченията на пясъчника.
Уязвимост #2: Заобикаляне на канонизирането на символни връзки (CVE-2026-50549)
Това е независим дефект в логиката за разрешаване на пътища на Cursor. Внедряването на подкана може да накара агента да създаде символна връзка (symlink) в директорията на проекта, сочеща към външен файл. Когато стъпката за валидиране се провали, агентът се връща към доверие в оригиналния, невалидиран път, заобикаляйки проверките за запис извън границите.