Cato AI Labs は 7月1日、AI コードエディタ Cursor IDE にゼロクリックで RCE を許す脆弱性 2 件を「DuneSlide」として開示しました。CVE-2026-50548 と CVE-2026-50549 で CVSS はいずれも 9.8 (CVSS 4.0 では 9.3)。攻撃者制御の外部コンテンツを AI エージェントが取り込むだけでサンドボックスを飛び越え、開発者マシン上で任意コードが動作します。
主なポイント
- CVE-2026-50548 は Cursor サンドボックスがコマンドの作業ディレクトリへの書き込みを許すことに起因、prompt injection でプロジェクト外パスへ誘導可能
- CVE-2026-50549 はシンボリックリンク検証のフォールバック不備で、経路の読み取り拒否や存在しない対象で検査を失敗させると Cursor がリンクを信頼して外部へ書き込む
- 攻撃はマルウェアファイル起動や悪意コード実行を必要とせず、AI エージェントの取り込み経路 (untrusted source) だけで成立
- 影響範囲は Cursor 3.0 より前の全バージョン、4月2日リリースの 3.0 で修正済 (CVE ID は 6月5日採番、公開は 7月1日)
- サンドボックス突破後はローカルだけでなく Cursor がサインイン中のクラウド / SaaS ワークスペースにも到達可
出典: Critical Cursor Flaws Could Let Prompt Injection Escape Sandbox and Run Commands - The Hacker News