Cursor AI 代码编辑器严重漏洞可导致操作系统级远程代码执行
- 浏览次数 93
- 喜欢 0
Cato Networks 报告称,流行 AI 代码编辑器 Cursor 中的两个严重漏洞可能导致在底层操作系统上执行远程代码。
这些安全缺陷被追踪为 CVE-2026-50548 和 CVE-2026-50549(CVSS 评分 9.8),被称为 DuneSlide,因为它们导致远程代码执行 (RCE) 超出 IDE 沙箱的范围。
根据 Cato 的说法,这些漏洞滥用了 Cursor 在沙箱内自动执行终端命令的功能,该功能不会提示用户批准,并且当受害者提示 IDE 摄入攻击者控制的载荷时可被触发。
第一个问题与沙箱的安全边界有关。虽然命令执行应限制在当前工作目录中,但为 working_directory 参数分配的非默认值会导致该路径被添加到允许列表中。
因此,一个看似无害的 MCP 服务器请求可以注入一个提示,指示 LLM 将工作目录设置为项目范围之外的攻击者提供的路径。
Cato 解释说,威胁行为者可以覆盖 cursorsandbox 可执行文件,确保“未来的命令在没有沙箱限制的情况下运行,因此同一提示注入中的后续指令会导致非沙箱化的 RCE”。
独立于该漏洞,第二个安全缺陷影响 IDE 的文件路径解析边缘情况,可通过符号链接利用以绕过越界写入保护。
攻击者可以构造一个提示,当注入到 Cursor 中时,指示代理在项目目录内创建一个指向外部文件的符号链接。
代理的路径规范化逻辑存在缺陷(它尝试解析符号链接以确定其位置并验证其是否在项目目录中),导致 Cursor 回退使用原始符号链接路径。
Cato 解释说:“威胁行为者随后可以创建一个只写符号链接,从而迫使 Cursor 假定解析后的路径是符号链接路径,而不是目标路径。这使其检测最终目的地越界的机制失效,允许威胁行为者再次链接到 cursorsandbox 可执行文件。”
Cato 于二月向 Cursor 报告了这两个漏洞。两者的补丁均包含在 4月2日发布的 Cursor 3.0 中,而 CVE ID 则在六月初分配。