Apa yang terjadi
Sebelum Cursor 3.0, sandbox terminal agen mengkanonikalisasi jalur target untuk mengkonfirmasi tetap berada di dalam workspace sebelum memungkinkan penulisan. Cacat dalam penanganan parameter working_directory menyebabkan sandbox menyertakan jalur yang dapat ditulis di luar workspace yang dimaksudkan. Dengan mengatur working_directory ke lokasi sensitif, agen dapat menulis file arbitrer — seperti menimpa helper cursorsandbox — mengaktifkan RCE tanpa sandboxing tanpa interaksi pengguna lebih lanjut.
Mengapa penting
Cursor adalah asisten pengodean AI yang paling banyak diadopsi di lingkungan perusahaan. Sandbox escape dalam mode agen berarti prompt injection melalui konten eksternal apa pun (pelacak masalah, pencarian web, konten repo) dapat menyebabkan RCE host penuh. Penyerang dapat mengekstrak kode sumber, kredensial, kunci SSH, dan token cloud, atau membangun persistensi pada workstation pengembang — vektor serangan rantai pasokan pengembang.
Vektor serangan
Agen berbahaya (dipicu melalui prompt injection atau konten repo berbahaya) mengatur working_directory ke jalur sensitif seperti ~/.cursor atau direktori sistem. Sandbox memberikan akses penulisan ke direktori kerja, jadi agen dapat menimpa binary helper cursorsandbox atau file istimewa lainnya, menyebabkan perintah berikutnya dieksekusi di luar sandbox dengan hak istimewa pengguna penuh.
Sistem yang terdampak
Cursor AI code editor < 3.0
Mitigasi
Tingkatkan ke Cursor 3.0. Advisory: https://github.com/cursor/cursor/security/advisories/GHSA-3p48-7v9f-v5cw