事件经过
Cursor 3.0 之前版本中的第二个沙箱逃逸:在代理写入操作期间,沙箱规范化目标路径以验证其保留在工作区内,但如果规范化失败,它会默认回退到原始路径并允许写入。这意味着攻击者可以提供一个触发规范化失败的路径,完全绕过边界并以用户权限写入工作区外的任意文件。
影响分析
这是一个不同于影响相同发布线的 CVE-2026-50548 的独立绕过,确认了 Cursor 沙箱设计中的系统性弱点。同时发布的两个独立逃逸路径表明沙箱在 v3.0 前未经过全面审计。综合风险意味着任何未修补的 Cursor 安装运行代理任务都完全暴露于通过提示注入的沙箱逃逸。
攻击途径
当路径规范化失败(例如在不存在或特殊构造的路径上),沙箱回退到原始未验证的路径并允许写入继续。恶意代理可以构造一个导致规范化失败的路径,绕过工作区边界检查并将文件写入主机文件系统的任何位置。
受影响系统
Cursor AI 代码编辑器 < 3.0
缓解措施
升级到 Cursor 3.0。公告:https://github.com/cursor/cursor/security/advisories/GHSA-3v8f-48vw-3mjx