취약점  ·  2026-07-03

DuneSlide — Cursor IDE 제로클릭 프롬프트 인젝션 샌드박스 탈출로 인한 호스트 RCE (CVE-2026-50548, CVE-2026-50549)

취약점High 영향도GlobalCVE-2026-50548
Cato AI Labs는 2026년 7월 1일 'DuneSlide'를 공개했습니다: Cursor IDE의 터미널 샌드박스에서 두 개의 중요 RCE 취약점 (CVE-2026-50548, CVSS 9.8; CVE-2026-50549, CVSS 9.3). 두 결함 모두 에이전트가 단순히 읽은 콘텐츠에 숨겨진 제로클릭 프롬프트 인젝션으로 샌드박스를 탈출하고 호스트에서 임의의 명령을 실행할 수 있습니다. Cato는 2026년 2월 19일에 비공개적으로 결함을 보고했습니다. Cursor는 처음에 이를 거부했다가 4월 2일 3.0 릴리스에서 둘 다 수정했습니다. CVE ID는 2026년 6월 5일에 할당되었고 2026년 7월 1일에 공개 공개되었습니다. 공개 전 실제 악용은 확인되지 않았습니다. Cato는 다른 인기 있는 코딩 에이전트의 유사한 구조적 결함을 공개할 것이라고 밝혔습니다.
Cursor와 같은 AI 코딩 에이전트는 무단 OS 접근을 방지하도록 설계된 샌드박스 내에서 터미널 명령을 자율적으로 실행합니다. DuneSlide는 에이전트 자체가 샌드박스가 검증 없이 신뢰하는 실행 매개변수(작업 디렉토리, 심볼릭 링크 대상)를 설정할 수 있을 때 샌드박스 격리가 불충분함을 증명합니다. 단 하나의 손상된 MCP 도구 응답 또는 웹 검색 결과만으로도 샌드박스를 무력화하고 개발자 권한으로 모든 명령을 실행할 수 있습니다 — 세션에 있는 클라우드 자격증명, SSH 키, SaaS 토큰 도용 포함. 공격에 클릭이나 승인이 필요하지 않으므로 표준 사회공학적 방어가 완전히 우회됩니다.
공격자는 AI 에이전트가 사용자를 대신하여 읽는 콘텐츠 내에 프롬프트 인젝션 지시를 배치합니다(예: 손상된 MCP 서버 응답 또는 웹 검색 결과). CVE-2026-50548은 Cursor의 run_terminal_cmd 도구의 LLM 제어 가능 working_directory 매개변수를 악용하여 프로젝트 샌드박스 외부로 쓰기를 리다이렉트하고 cursorsandbox 도우미 바이너리를 덮어씁니다. CVE-2026-50549는 Cursor의 심볼릭 링크 정규화의 폴백을 악용합니다: 경로 확인에 실패할 때(대상 누락 또는 읽기 접근 제거), Cursor는 검증되지 않은 심볼릭 링크 경로를 신뢰하여 공격자가 만든 심볼릭 링크가 동일한 샌드박스 바이너리에 도달하도록 합니다. 어느 체인이든 샌드박싱을 무력화하고 개발자 머신에서 제로 사용자 클릭으로 완전 미샌드박싱 RCE를 달성합니다.
Cursor IDE (anysphere/cursor) < 3.0
Cursor IDE를 버전 3.0 이상으로 업데이트하세요(2026년 4월 2일 패치됨). AI 에이전트의 신뢰할 수 없는 외부 데이터 소스 접근을 제한하세요. 모든 MCP 연결 서비스와 웹 검색 결과를 공격자 제어 입력으로 취급하세요.
출처
The Hacker News — Critical Cursor Flaws Could Let Prompt Injection Escape Sandbox and Run CommandsLet's Data Science — Researchers Disclose Zero-Click RCE Flaws In Cursor IDECSO Online — Sandbox bypass flaws in Cursor IDE highlight prompt injection as an RCE vectorCybersecurityNews — Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →