Kerentanan  ·  2026-07-03

DuneSlide — Cursor IDE Zero-Click Prompt Injection Sandbox Escape Enables Host RCE (CVE-2026-50548, CVE-2026-50549)

KerentananHigh dampakGlobalCVE-2026-50548
Cato AI Labs mengungkapkan 'DuneSlide' pada 1 Juli 2026: dua kerentanan RCE kritis (CVE-2026-50548, CVSS 9.8; CVE-2026-50549, CVSS 9.3) dalam sandbox terminal Cursor IDE. Kedua cacat memungkinkan injeksi prompt tanpa klik yang tersembunyi dalam konten yang dibaca agen untuk melepaskan diri dari sandbox dan menjalankan perintah arbitrer pada host. Cato melaporkan cacat ini secara pribadi pada 19 Februari 2026; Cursor awalnya menolaknya, kemudian memperbaiki keduanya dalam rilis 3.0 pada 2 April. ID CVE ditetapkan pada 5 Juni 2026 dan diungkapkan secara publik pada 1 Juli 2026. Tidak ada eksploitasi in-the-wild yang dikonfirmasi sebelum pengungkapan. Cato menyatakan akan mengungkapkan cacat struktural serupa dalam agen coding populer lainnya.
Agen coding AI seperti Cursor menjalankan perintah terminal secara otonomi di dalam sandbox yang dirancang untuk mencegah akses OS yang tidak sah. DuneSlide membuktikan bahwa isolasi sandbox tidak cukup ketika agen itu sendiri dapat mengatur parameter eksekusi (direktori kerja, target symlink) yang dipercaya sandbox tanpa validasi. Respons alat MCP yang terracuni tunggal atau hasil pencarian web sudah cukup untuk menghilangkan sandbox dan menjalankan perintah apa pun sebagai pengembang — termasuk mencuri kredensial cloud, kunci SSH, dan token SaaS yang ada dalam sesi. Karena serangan tidak memerlukan klik atau persetujuan, pertahanan social-engineering standar sepenuhnya dilewati.
Penyerang menanam instruksi injeksi prompt di dalam konten yang dibaca agen AI atas nama pengguna (misalnya respons server MCP yang terracuni atau hasil pencarian web). CVE-2026-50548 menyalahgunakan parameter working_directory yang dapat dikendalikan LLM dari alat run_terminal_cmd Cursor untuk mengalihkan penulisan di luar sandbox proyek, menimpa biner pembantu cursorsandbox. CVE-2026-50549 mengeksploitasi fallback dalam kanonikalisasi symlink Cursor: ketika resolusi path gagal (target hilang atau akses baca dihapus), Cursor mempercayai jalur symlink yang tidak divalidasi, membiarkan symlink yang dibuat penyerang mencapai biner sandbox yang sama. Salah satu rantai menghilangkan sandboxing dan mencapai RCE unsandboxed penuh pada mesin pengembang dengan nol klik pengguna.
Cursor IDE (anysphere/cursor) < 3.0
Perbarui Cursor IDE ke versi 3.0 atau lebih baru (diperbaiki 2 April 2026). Batasi akses agen AI ke sumber data eksternal yang tidak tepercaya; perlakukan setiap layanan terhubung MCP dan hasil pencarian web sebagai input yang dikendalikan penyerang.
Sumber
The Hacker News — Critical Cursor Flaws Could Let Prompt Injection Escape Sandbox and Run CommandsLet's Data Science — Researchers Disclose Zero-Click RCE Flaws In Cursor IDECSO Online — Sandbox bypass flaws in Cursor IDE highlight prompt injection as an RCE vectorCybersecurityNews — Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →