Apa yang terjadi
Cato AI Labs mengungkapkan dua kerentanan RCE kritis independen (kedua-duanya CVSS 9.8) dalam editor kode Cursor AI, secara kolektif bernama 'DuneSlide', dirilis secara publik 2026-07-01/03. CVE-2026-50548 menyalahgunakan parameter working_directory dari tool run_terminal_cmd Cursor: ketika LLM agent menetapkan working directory non-default (dapat dikontrol melalui prompt injection dari respons MCP server atau hasil web search), Cursor secara buta menambahkan path tersebut ke allowed-write list sandbox, memungkinkan overwrite dari cursorsandbox binary dan semua perintah shell selanjutnya dijalankan tanpa sandboxing. CVE-2026-50549 menyalahgunakan fallback dalam symlink canonicalization: ketika path resolution gagal (path non-existent atau read-inaccessible), Cursor mempercayai symlink path non-canonicalized, memungkinkan instruksi yang disuntikkan membuat write-only symlink dari dalam project ke sandbox helper binary di luarnya, mencapai escape yang sama. Keduanya tidak memerlukan zero user clicks — injected instructions tersembunyi dalam output MCP server atau hasil web search memicu rantai lengkap.
Mengapa penting
Cursor digunakan oleh lebih dari setengah Fortune 500. Developer yang hanya meminta Cursor untuk meneliti library atau debug code sambil terhubung ke MCP server yang malicious (atau compromised) sudah cukup untuk mencapai full OS-level code execution dengan privilege developer — mengekspos SSH keys, git credentials, AWS/GCP/Azure tokens, CI/CD pipelines, dan sistem production apa pun yang dapat dijangkau developer. Cato menyatakan sedang mengungkapkan flaws serupa dalam coding agents lainnya, menunjukkan trust-boundary gap kategori-lebar struktural.
Vektor serangan
Prompt injection tertanam dalam respons MCP server, hasil web search, atau file project yang dibuat attacker menyebabkan LLM agent Cursor menetapkan arbitrary working directory atau membuat malicious symlink, overwriting cursorsandbox binary dan mencapai unrestricted RCE pada host OS developer.
Sistem yang terdampak
Cursor IDE < 3.0 (semua versi 2.x); diperbaiki dalam Cursor 3.0 (dirilis April 2026)
Mitigasi
Update Cursor ke versi 3.0 atau lebih baru segera. Audit integrasi MCP server dan hapus connectors yang tidak terpercaya atau tidak perlu. Hindari membiarkan Cursor mengambil konten eksternal dari sumber yang tidak diverifikasi. Advisory Cato: https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/