何が起きたか
Cato AI Labs は Cursor AI コードエディタの 2 つの独立した重大 RCE 脆弱性 (両者ともCVSS 9.8) を公開し、2026-07-01/03 に公開された「DuneSlide」と命名しました。CVE-2026-50548 は Cursor の run_terminal_cmd ツールの working_directory パラメータを悪用します。LLM エージェントが非デフォルト作業ディレクトリを設定する場合 (MCP サーバー応答またはウェブ検索結果からプロンプトインジェクションを介して操作可能)、Cursor は盲目的にそのパスをサンドボックスの許可リストに追加し、cursorsandbox バイナリを上書きして、その後のすべてのシェルコマンドをサンドボックスなしで実行できるようにします。CVE-2026-50549 はシンボリックリンク正規化のフォールバックを悪用します。パス解決が失敗する場合 (存在しないまたは読み取り不可能なパス)、Cursor は非正規化されたシンボリックリンク パスを信頼し、注入された命令がプロジェクト内からサンドボックス外のサンドボックス ヘルパー バイナリへの書き込み専用シンボリックリンクを作成できるようにして、同じエスケープを実現します。どちらもユーザークリックがゼロです。MCP サーバー出力またはウェブ検索結果に隠された注入命令が全チェーンをトリガーします。
なぜ重要か
Cursor はフォーチュン 500 企業の 50% 以上によって使用されています。開発者が単に Cursor にライブラリを調査するかコードをデバッグするよう要求し、悪意のある (または侵害された) MCP サーバーに接続している場合、開発者の特権で OS レベルのコード実行を実現するのに十分です。これは SSH キー、git 認証情報、AWS/GCP/Azure トークン、CI/CD パイプライン、および開発者がアクセスできる任意の本番システムを公開します。Cato は他のコーディングエージェントで同様の欠陥を開示していると述べており、構造的なカテゴリー全体の信頼境界ギャップを示唆しています。
攻撃経路
MCP サーバー応答、ウェブ検索結果、または攻撃者が作成したプロジェクトファイルに埋め込まれたプロンプトインジェクションにより、Cursor の LLM エージェントが任意の作業ディレクトリを設定するか悪意のあるシンボリックリンクを作成し、cursorsandbox バイナリを上書きして、開発者のホスト OS での制限されないRCEを実現します。
影響を受けるシステム
Cursor IDE < 3.0 (すべての 2.x バージョン); Cursor 3.0 で修正 (2026 年 4 月リリース)
緩和策
Cursor をバージョン 3.0 以降に直ちにアップデートしてください。MCP サーバー統合を監査し、信頼できないまたは不要なコネクタを削除してください。Cursor が検証されていないソースから外部コンテンツを取得することを許可しないようにしてください。Cato アドバイザリ: https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/