Cursor AI 에디터 — 경로 검증 실패 시 정규화 폴백을 통한 에이전트 샌드박스 탈출

Cursor 3.0 이전의 두 번째 샌드박스 탈출: 에이전트 쓰기 작업 중 샌드박스는 대상 경로를 정규화하여 작업 공간 내에 유지되는지 검증하지만, 정규화에 실패하면 자동으로 원본 경로로 폴백되고 쓰기를 허용합니다. 이는 공격자가 정규화 실패를 트리거하는 경로를 공급하여 경계를 완전히 우회하고 사용자의 권한으로 작업 공간 외부에 임의의 파일을 쓸 수 있음을 의미합니다.

이는 동일한 출시 라인에 영향을 미치는 CVE-2026-50548과는 별개의 우회이며, Cursor의 샌드박스 설계의 체계적인 약점을 확인합니다. 동시에 발표된 두 개의 독립적인 탈출 경로는 샌드박스가 v3.0 이전에 포괄적으로 감사되지 않았음을 나타냅니다. 결합된 위험은 에이전트 작업을 실행하는 모든 패치되지 않은 Cursor 설치가 프롬프트 주입을 통한 샌드박스 탈출에 완전히 노출되어 있음을 의미합니다.

경로 정규화가 실패하면(예: 존재하지 않거나 특별히 제작된 경로에서), 샌드박스는 원본 검증되지 않은 경로로 폴백되고 쓰기를 진행하도록 허용합니다. 악의적인 에이전트는 정규화를 실패하게 하는 경로를 생성하여 작업 공간 경계 확인을 우회하고 호스트 파일 시스템의 어느 곳이든 파일을 쓸 수 있습니다.

Cursor AI 코드 에디터 < 3.0

Cursor 3.0으로 업그레이드하세요. 권고사항: https://github.com/cursor/cursor/security/advisories/GHSA-3v8f-48vw-3mjx