CursorIDE远程代码执行漏洞允许零点击注入提示符

admin 2026-07-03 05:51:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CursorIDE存在两个严重远程代码执行漏洞(CVE-2026-50548和CVE-2026-50549),CVSS评分9.8,统称DuneSlide。攻击者可通过零点击提示注入,利用工作目录操纵或符号链接绕过缺陷,覆盖关键系统文件突破沙箱,实现完全远程代码执行,危及本地计算机和SaaS工作区。用户需警惕不受信任来源的内容,并关注官方更新。 综合评分: 86 文章分类: 漏洞分析,红队,渗透测试,安全工具,漏洞预警


cover_image

Cursor IDE 远程代码执行漏洞允许零点击注入提示符

网络安全9527 网络安全9527

安全圈的那点事儿

2026年7月2日 11:01 北京

在小说阅读器读本章

去阅读

Cursor IDE 中存在两个严重的远程代码执行 (RCE) 漏洞,Cursor IDE 是超过一半财富 500 强公司使用的 AI 驱动型开发环境。

Cato AI Labs 披露了两个漏洞,称为“DuneSlide”,这两个漏洞的 CVSS 严重性评分均为 9.8,并分别被分配了 CVE-2026-50548 和 CVE-2026-50549,允许攻击者完全突破 Cursor 的沙箱。

这些漏洞表明,提示注入攻击不仅限于操纵 LLM 的输出,还可以深入到以前从未被视为攻击面一部分的经典代码路径中。

利用此漏洞,攻击者可以覆盖关键系统文件,例如 cursorsandbox 二进制文件,将沙盒终端命令转换为完全非沙盒远程代码执行 (RCE),从而危及本地计算机和连接的 SaaS 工作区。

这两个漏洞都是在没有任何用户权限或故意交互的情况下触发的;受害者只需要发出一个看似无害的提示,该提示会无意中从不受信任的来源(例如MCP 服务器响应或被污染的 Web 搜索结果)接收攻击者控制的内容。

Cursor 2.x 会在沙箱内自动运行代理终端命令,无需提示批准,这种设计旨在减少审批疲劳,同时限制简单的提示注入所能造成的后果。

漏洞#1:工作目录操纵

CVE-2026-50548 源于 Cursor 沙箱授予命令工作目录写入权限的方式。由于 working_directory 是 run_terminal_cmd 工具的一个可选的、由 LLM 控制的参数,因此注入提示符可以诱使代理将其设置为攻击者选择的位于项目根目录之外的路径。

这使得攻击者可以写入敏感位置,包括位于 /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox 的 cursorsandbox 助手,或 ~/.zshrc 和 ~/Library/LaunchAgents 等文件,从而使沙箱限制失效,无法执行同一注入中的后续命令。

漏洞#2:符号链接规范化绕过

CVE-2026-50549 是 Cursor 路径解析逻辑中的一个独立缺陷。通过提示注入,可以指示代理在项目目录内创建一个指向外部文件的符号链接;当 Cursor 的规范化步骤失败时(例如,由于目标文件不存在或缺少读取权限),代理会回退到信任原始的、未经验证的符号链接路径。

这样可以绕过越界写入检查,使攻击者能够通过符号链接覆盖同一个 cursorsandbox 助手,并在没有任何用户交互的情况下实现特权远程代码执行。

DuneSlide 强调,仅靠沙箱无法阻止自主编码代理,因为参数验证和路径解析边缘情况仍然可以通过快速注入来利用。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《Cursor IDE 远程代码执行漏洞允许零点击注入提示符》

评论:0   参与:  0