취약점  ·  2026-07-04

Cursor IDE 'DuneSlide' — 클릭 없이 프롬프트 인젝션이 샌드박스를 탈출하여 OS 수준 RCE 달성 (CVE-2026-50548 / CVE-2026-50549)

취약점High 영향도GlobalCVE-2026-50548
Cato AI Labs는 'DuneSlide'라고 합칭된 Cursor AI 코드 편집기의 두 가지 독립적인 중대 RCE 취약점(모두 CVSS 9.8)을 공개했으며, 2026-07-01/03에 공개적으로 출시되었습니다. CVE-2026-50548은 Cursor의 run_terminal_cmd 도구의 working_directory 매개변수를 악용합니다. LLM 에이전트가 비기본 작업 디렉토리를 설정할 때(MCP 서버 응답 또는 웹 검색 결과를 통해 프롬프트 인젝션을 통해 제어 가능), Cursor는 해당 경로를 샌드박스의 허용된 쓰기 목록에 무분별하게 추가하여 cursorsandbox 바이너리를 덮어쓸 수 있게 하고 이후 실행되는 모든 셸 명령이 샌드박싱 없이 실행됩니다. CVE-2026-50549는 심링크 정규화의 폴백을 악용합니다. 경로 분석이 실패할 때(존재하지 않거나 읽기 불가능한 경로), Cursor는 정규화되지 않은 심링크 경로를 신뢰하여 주입된 지시가 프로젝트 내부에서 프로젝트 외부의 샌드박스 헬퍼 바이너리로 쓰기 전용 심링크를 만들 수 있게 하며, 동일한 탈출을 달성합니다. 둘 다 클릭이 필요 없으며, MCP 서버 출력 또는 웹 검색 결과에 숨겨진 주입된 지시가 전체 체인을 트리거합니다.
Cursor는 Fortune 500의 절반 이상에서 사용됩니다. 개발자가 단순히 Cursor에 라이브러리를 조사하거나 악의적이거나 손상된 MCP 서버에 연결된 상태에서 코드를 디버그하도록 요청하는 것만으로도 개발자의 권한으로 OS 수준 코드 실행을 달성할 수 있으며, SSH 키, git 자격 증명, AWS/GCP/Azure 토큰, CI/CD 파이프라인, 개발자가 접근할 수 있는 모든 프로덕션 시스템을 노출합니다. Cato는 다른 코딩 에이전트의 유사한 결함을 공개하고 있으며, 카테고리 전체의 구조적 신뢰 경계 격차를 시사합니다.
MCP 서버 응답, 웹 검색 결과 또는 공격자가 제작한 프로젝트 파일에 포함된 프롬프트 인젝션이 Cursor의 LLM 에이전트를 비상 작업 디렉토리를 설정하거나 악의적 심링크를 생성하도록 유도하여 cursorsandbox 바이너리를 덮어쓰고 개발자의 호스트 OS에서 제한 없는 RCE를 달성합니다.
Cursor IDE < 3.0 (모든 2.x 버전); Cursor 3.0에서 수정 (2026년 4월 출시)
Cursor를 버전 3.0 이상으로 즉시 업데이트하세요. MCP 서버 통합을 감시하고 신뢰할 수 없거나 불필요한 커넥터를 제거하세요. Cursor가 검증되지 않은 출처에서 외부 콘텐츠를 가져오도록 허용하지 마세요. Cato 권고: https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/
Cato Networks AI Labs — DuneSlide: Two Critical RCE Vulnerabilities (2026-07-01)SecurityWeek — Critical Cursor AI Code Editor Flaws Could Lead to OS-Level RCE (2026-07-03)CSO Online — Sandbox bypass flaws in Cursor IDE highlight prompt injection as RCE vector (2026-07-01)NVD — CVE-2026-50548
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →