CursorIDE中的两个关键性RCE漏洞,通过零点击提示注入触发

admin 2026-07-09 07:09:47 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: CatoAILabs在CursorIDE中发现两个关键RCE漏洞(CVE-2026-50548和CVE-2026-50549,CVSS9.8),统称DuneSlide。攻击者可通过零点击提示注入(如恶意MCP服务器或搜索结果)操纵工作目录参数或利用符号链接规范化缺陷,突破沙盒写入关键系统文件(如cursorsandbox),实现非沙盒RCE和主机完全失陷。漏洞已在Cursor3.0中修复,建议用户立即更新。 综合评分: 86 文章分类: 漏洞分析,安全工具,AI安全,红队,渗透测试


cover_image

Cursor IDE 中的两个关键性 RCE 漏洞,通过零点击提示注入触发

原创

骨哥说事 骨哥说事

骨哥说事

2026年7月6日 09:11 上海

在小说阅读器读本章

去阅读

| | | — | | 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |

#

#

防走失:https://gugesay.com/

不想错过任何消息?设置星标↓ ↓ ↓

#

摘要

Cato AI Labs 在 Cursor IDE 中发现了两个关键性的远程代码执行漏洞。根据 Cursor 的说法,该流行的开发环境被超过一半的财富 500 强公司使用。这两个我们称为 “DuneSlide” 的 RCE 漏洞均获得了 9.8 的 CVSS 评分,涉及突破 IDE 的沙盒环境,并被分配了 CVE 编号 CVE-2026-50548 和 CVE-2026-50549。

这些漏洞共同展示了提示注入如何超越 LLM 层面,并暴露了传统上不被视为攻击面一部分的代码路径中的经典漏洞。

利用这两个关键漏洞中的任何一个,攻击者都可以覆写关键的系统文件(如 cursorsandbox 二进制文件),从而将沙盒命令转换为非沙盒的 RCE,导致主机和连接的 SaaS 工作空间完全失陷。

执行摘要

  • 发现的关键漏洞: Cato AI Labs 在 Cursor IDE 中发现了两个不同的关键漏洞,导致在用户机器上实现非沙盒的 RCE。
  • 通过零点击提示注入进行任意文件写入: 这些独立的架构缺陷允许攻击者利用零点击提示注入在开发者的本地系统上写入任意文件。
  • 沙盒逃逸与 RCE: 通过利用这些原语,攻击者可以突破终端沙盒,实现完整的 RCE 和完全的系统失陷。
  • 零点击攻击向量: 该漏洞利用不需要预先获取用户权限或特定的用户交互。当受害者提出一个看似无害的提示,无意中摄入了来自不可信源(如 MCP 服务器或网络搜索结果)的攻击者控制的载荷时,攻击就会触发。

技术概述

Cursor 沙盒与攻击向量

Cursor 2.x 版本默认在沙盒内自动执行终端命令,无需用户批准。该功能的构建旨在防止用户因频繁审批而产生疲劳,同时防止攻击者轻易地将简单的提示注入转化为 RCE。

漏洞 #1:工作目录参数操纵

第一个漏洞源于沙盒如何基于工具参数构建其安全边界。当执行沙盒命令时,Cursor 会构建一个 seatbelt 策略,允许写入当前工作目录。

  • 默认行为是将命令执行的工作目录设置为项目根目录,但 working_directory 是 run_terminal_cmd 工具的一个可选参数。
  • 问题的症结在于,当 LLM 为该参数分配一个非默认值时,该路径会被盲目地添加到沙盒的允许写入列表中。
  • 一次提示注入(通过无害的 MCP 服务器请求或被投毒的搜索结果提供)可以引导 LLM 将 working_directory 设置为项目范围之外的攻击者控制的路径。
  • 通过写入 cursorsandbox 可执行文件(/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox),攻击者确保未来的命令将在没有沙盒限制的情况下运行,因此同一提示注入中后续的指令会导致非沙盒的 RCE。
  • 其他易受攻击的路径包括 ~/.zshrc~/.zshenv 或 ~/Library/LaunchAgents

传统上,远程攻击者无法控制沙盒化操作的工作目录。然而,由于编码代理是一种独特的软件,在此漏洞中,提示注入充当了通往代码该部分的通道。

漏洞 #2:符号链接规范化失败

第二个漏洞完全独立于第一个,存在于 Cursor 文件路径解析的边缘案例中。它允许攻击者利用符号链接绕过越界写入保护。

  • 一次提示注入(通过无害的 MCP 服务器请求或被投毒的搜索结果)可以指示 Cursor Agent 在项目目录内创建一个指向位于项目目录之外的文件的符号链接。
  • 默认情况下,Cursor Agent 会尝试规范化路径(解析符号链接)以确定其真实位置,并验证其是否在项目根目录内。
  • 漏洞的发生是因为规范化逻辑包含一个危险的回退机制:如果规范化失败(例如当路径不存在或者路径在某个目录上缺少读取权限时),Cursor 会回退到使用项目目录内的原始符号链接路径。
  • 攻击者然后可以创建一个仅可写的符号链接,从而迫使 Cursor 假设解析后的路径是符号链接路径,而不是目标路径。这使得其最终目的地越界的检测失败,从而允许攻击者再次链接到 cursorsandbox 可执行文件。
  • 使用写入工具,攻击者随后通过该符号链接覆写这个外部文件,使后续在同一提示注入中执行的命令不受沙盒保护,导致 RCE。

在大多数经典软件中,外部攻击者无法在受害者的机器上远程创建符号链接。在此案例中,提示注入将 Cursor 代理变成了导致完全系统失陷的非平凡操作的桥头堡。

Cato AI Labs 致力于保护 AI 生态系统,并遵循标准负责任的披露流程处理 DuneSlide:

  • 2月19日: 向 Cursor 团队报告了漏洞。
  • 2月23日: 这些漏洞被驳回。理由:Cursor 的威胁模型并未考虑 MCP 服务器被滥用的情况,即使 MCP 服务器本身是标准的、无害的集成,如官方的 Linear.app 工作空间。
  • 2月26日: 由于问题的严重性,将这两个问题直接升级提交给 Cursor 安全团队。安全团队重新打开了它们,并开始对报告的漏洞进行分类处理。
  • 4月1日: Cursor 团队确认工作目录漏洞的修复将在 Cursor 3.0 客户端中发布(发布于 4 月 2 日)。
  • 6月1日: Cursor 团队确认链接目标漏洞的修复也已随 Cursor 3.0 发布。
  • 6月5日: 分配了 CVE 编号 CVE-2026-50548 和 CVE-2026-50549,确认了漏洞的关键严重性。

结论

DuneSlide 凸显了为 LLM 提供自主命令执行环境所带来的独特架构风险。虽然沙盒化是一种必要的防御手段,但参数验证和路径解析边缘案例中的明显缺陷证明,零点击提示注入可以巧妙地操纵孤立的逻辑缺陷来执行完全的系统接管。如果这些问题只是通过提示注入导致失陷的个别案例,我们可能会将其归因于特定的漏洞。然而,Cato AI Labs 正在负责任地披露所有流行编码代理中的漏洞,这表明需要一种更系统性的防护方法。敬请关注。

原文:https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/

  • END –

感谢阅读,如果觉得还不错的话,动动手指给个三连吧~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:骨哥说事 骨哥说事 骨哥说事《Cursor IDE 中的两个关键性 RCE 漏洞,通过零点击提示注入触发》

评论:0   参与:  0