何が起きたか
3.0より前のCursorの2番目のサンドボックスエスケープ:エージェント書き込み操作中、サンドボックスはターゲットパスを正規化してワークスペース内に留まることを検証しますが、正規化が失敗すると静かに元のパスにフォールバックして書き込みを許可します。これは、攻撃者が正規化失敗をトリガーするパスを提供できることを意味し、境界全体をバイパスして、ユーザーの権限でワークスペース外の任意のファイルを書き込むことができます。
なぜ重要か
これはCVE-2026-50548から影響を受けるのと同じリリースラインに影響を与える別のバイパスであり、Cursorのサンドボックス設計の体系的な弱点を確認しています。同時に公開された2つの独立したエスケープパスは、v3.0の前にサンドボックスが包括的に監査されなかったことを示唆しています。組み合わせられたリスクは、エージェントタスクを実行している未修正のCursorインストールがプロンプトインジェクション経由のサンドボックスエスケープに完全に露出していることを意味します。
攻撃経路
パス正規化が失敗する場合(例えば、存在しないまたは特別に細工されたパス上)、サンドボックスは元の検証されていないパスにフォールバックして書き込みを進めることを許可します。悪意あるエージェントは、正規化が失敗するパスを構築できており、ワークスペース境界チェックをバイパスして、ホストファイルシステムの任意の場所にファイルを書き込むことができます。
影響を受けるシステム
Cursor AIコードエディタ < 3.0
緩和策
Cursor 3.0にアップグレードしてください。アドバイザリ:https://github.com/cursor/cursor/security/advisories/GHSA-3v8f-48vw-3mjx