事件经过
Cato AI Labs 公开披露了 Cursor AI 代码编辑器中两个独立的关键 RCE 漏洞(均为 CVSS 9.8),统称为 "DuneSlide",于 2026-07-01/03 公开发布。CVE-2026-50548 滥用 Cursor 的 run_terminal_cmd 工具的 working_directory 参数:当 LLM 智能体设置非默认工作目录(可通过来自 MCP 服务器响应或网络搜索结果的提示注入进行操控)时,Cursor 盲目地将该路径添加到沙箱的允许写入列表中,允许覆盖 cursorsandbox 二进制文件和所有后续无沙箱运行的 shell 命令。CVE-2026-50549 滥用符号链接规范化中的回退:当路径解析失败(路径不存在或不可读取)时,Cursor 信任未规范化的符号链接路径,允许注入的指令从项目内部创建写入专用符号链接到沙箱外的辅助二进制文件,实现相同的逃逸。两者都不需要零用户点击——隐藏在 MCP 服务器输出或网络搜索结果中的注入指令触发完整链条。
影响分析
Cursor 被超过一半的财富 500 强公司使用。开发者只需要求 Cursor 研究库或调试代码,同时连接到恶意的(或被破坏的)MCP 服务器,就足以使用开发者的权限实现完整的操作系统级代码执行——暴露 SSH 密钥、git 凭证、AWS/GCP/Azure 令牌、CI/CD 管道以及开发者可以访问的任何生产系统。Cato 声称正在其他编码智能体中披露类似的漏洞,表明存在结构性的全类别信任边界漏洞。
攻击途径
嵌入在 MCP 服务器响应、网络搜索结果或攻击者精心构造的项目文件中的提示注入导致 Cursor 的 LLM 智能体设置任意工作目录或创建恶意符号链接,覆盖 cursorsandbox 二进制文件并在开发者主机操作系统上实现无限制 RCE。
受影响系统
Cursor IDE < 3.0(所有 2.x 版本);在 Cursor 3.0(2026 年 4 月发布)中修复
缓解措施
立即将 Cursor 更新至 3.0 或更高版本。审计 MCP 服务器集成并删除不可信或不必要的连接器。避免允许 Cursor 从未经审查的来源获取外部内容。Cato 公告:https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/