文章总结: CatoAILabs在CursorIDE中发现两个严重RCE漏洞(CVE-2026-50548和CVE-2026-50549,统称DuneSlide,CVSS9.8)。漏洞通过提示词注入触发,无需用户交互即可完全攻破沙箱,危害本地计算机及SaaS工作空间。攻击者可利用工作目录操纵或符号链接绕过覆盖关键系统文件实现远程代码执行。建议用户关注官方更新并加强输入验证。 综合评分: 75 文章分类: 漏洞分析,安全工具,红队,WEB安全
Cursor IDE 严重漏洞可用于零点击提示词注入攻击
Guru Baran Guru Baran
代码卫士
2026年7月2日 16:33 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Cato AI Labs的研究人员从AI驱动的开发环境Cursor IDE中发现了两个严重的远程代码执行(RCE)漏洞(CVE-2026-50548和CVE-2026-50549,CVSS评分均为9.8),并将其统称为“DuneSlide”,它们可导致攻击者完全攻破Cursor的沙箱。
这两个漏洞表明,提示词注入攻击的影响已不止于操纵LLM的输出,还可延伸至此前从未被视为攻击面的经典代码路径。攻击者可利用这些漏洞,覆盖关键系统文件(如cursorsandbox二进制文件),从而将沙箱内的终端命令转化为完全不受沙箱限制的RCE,危害本地计算机及连接的SaaS工作空间安全。
这两个漏洞的触发无需任何用户权限或主动交互;受害者只需发出一个无害提示,不慎摄入来自不可信来源(如MCP服务器响应或被投毒的网页搜索结果)的攻击者控制内容即可中招。
Cursor 2.x版本默认在沙箱中自动执行代理终端命令而无需弹出审批,这种设计旨在减少审批疲劳,同时限制简单提示注入的升级范围。
工作目录操纵漏洞
漏洞CVE-2026-50548源于Cursor沙箱对命令工作目录授予写权限的方式。由于working_directory是run_terminal_cmd工具的一个可选参数且由LLM控制,攻击者可通过提示注入诱使代理将其设为项目根目录之外的攻击者选定路径。这使得攻击者能够写入敏感位置,包括位于/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox的cursorsandbox辅助程序,或~/.zshrc、~/Library/LaunchAgents等文件,从而在同一注入后续命令中消除沙箱限制。
符号链接规范化绕过漏洞
漏洞CVE-2026-50549是Cursor路径解析逻辑中的独立缺陷。攻击者可通过提示词注入指示代理在项目目录内创建指向外部文件的符号链接;当Cursor的规范化步骤失败时(例如目标不存在或缺少读取权限),代理会回退至信任原始且未经验证的符号链接路径。这就绕过了越界写入检查,使攻击者能够通过符号链接覆盖相同的cursorsandbox辅助程序,并在无需任何用户交互的情况下实现特权RCE。
DuneSlide事件表明,当参数验证和路径解析边缘情况仍可通过提示词注入被利用时,单纯的沙箱无法约束自主编码代理。Cato AI Labs表示,他们正在对其它流行编码代理继续负责任地披露漏洞,这表明保护AI驱动开发工具需要系统性的架构级防御,而非一次性补丁。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
如何通过一次供应链攻击同时攻破 X、Vercel、Cursor、Discord等数百家企业
Cursor AI 编辑器可导致仓库在设备上“自动运行”恶意代码
Cursor IDE易受提示注入攻击
原文链接
Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Guru Baran Guru Baran《Cursor IDE 严重漏洞可用于零点击提示词注入攻击》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论