Kerentanan  ·  2026-07-04

Cursor IDE 'DuneSlide' — Zero-Click Prompt Injection Keluar dari Sandbox untuk OS-Level RCE (CVE-2026-50548 / CVE-2026-50549)

KerentananHigh dampakGlobalCVE-2026-50548
Cato AI Labs mengungkapkan dua kerentanan RCE kritis independen (kedua-duanya CVSS 9.8) dalam editor kode Cursor AI, secara kolektif bernama 'DuneSlide', dirilis secara publik 2026-07-01/03. CVE-2026-50548 menyalahgunakan parameter working_directory dari tool run_terminal_cmd Cursor: ketika LLM agent menetapkan working directory non-default (dapat dikontrol melalui prompt injection dari respons MCP server atau hasil web search), Cursor secara buta menambahkan path tersebut ke allowed-write list sandbox, memungkinkan overwrite dari cursorsandbox binary dan semua perintah shell selanjutnya dijalankan tanpa sandboxing. CVE-2026-50549 menyalahgunakan fallback dalam symlink canonicalization: ketika path resolution gagal (path non-existent atau read-inaccessible), Cursor mempercayai symlink path non-canonicalized, memungkinkan instruksi yang disuntikkan membuat write-only symlink dari dalam project ke sandbox helper binary di luarnya, mencapai escape yang sama. Keduanya tidak memerlukan zero user clicks — injected instructions tersembunyi dalam output MCP server atau hasil web search memicu rantai lengkap.
Cursor digunakan oleh lebih dari setengah Fortune 500. Developer yang hanya meminta Cursor untuk meneliti library atau debug code sambil terhubung ke MCP server yang malicious (atau compromised) sudah cukup untuk mencapai full OS-level code execution dengan privilege developer — mengekspos SSH keys, git credentials, AWS/GCP/Azure tokens, CI/CD pipelines, dan sistem production apa pun yang dapat dijangkau developer. Cato menyatakan sedang mengungkapkan flaws serupa dalam coding agents lainnya, menunjukkan trust-boundary gap kategori-lebar struktural.
Prompt injection tertanam dalam respons MCP server, hasil web search, atau file project yang dibuat attacker menyebabkan LLM agent Cursor menetapkan arbitrary working directory atau membuat malicious symlink, overwriting cursorsandbox binary dan mencapai unrestricted RCE pada host OS developer.
Cursor IDE < 3.0 (semua versi 2.x); diperbaiki dalam Cursor 3.0 (dirilis April 2026)
Update Cursor ke versi 3.0 atau lebih baru segera. Audit integrasi MCP server dan hapus connectors yang tidak terpercaya atau tidak perlu. Hindari membiarkan Cursor mengambil konten eksternal dari sumber yang tidak diverifikasi. Advisory Cato: https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/
Cato Networks AI Labs — DuneSlide: Two Critical RCE Vulnerabilities (2026-07-01)SecurityWeek — Critical Cursor AI Code Editor Flaws Could Lead to OS-Level RCE (2026-07-03)CSO Online — Sandbox bypass flaws in Cursor IDE highlight prompt injection as RCE vector (2026-07-01)NVD — CVE-2026-50548
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →