资讯专家 发表于 2026-7-3 16:00:00

CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

安全研究人员披露了流行AI代码编辑器Cursor的两个严重漏洞(CVE-2026-50548和CVE-2026-50549),统称DuneSlide。这两个漏洞CVSS评分均为9.8,可导致攻击者在操作系统级别实现远程代码执行(RCE),绕过IDE的沙箱限制。

漏洞细节:
- 第一个漏洞利用Cursor的自动终端命令执行功能(无需用户确认),攻击者可通过构造恶意提示,使LLM将工作目录设置为攻击者控制的路径,从而覆盖沙箱可执行文件,导致后续命令在无沙箱限制的环境下运行。
- 第二个漏洞涉及文件路径解析逻辑缺陷,攻击者可在项目目录中创建指向外部文件的符号链接,由于路径规范化逻辑回退使用原始链接路径,可绕过越界写入保护,同样覆盖沙箱可执行文件。

修复措施:
Cato Networks于2月向Cursor报告漏洞,修复方案已包含在4月2日发布的Cursor 3.0中。CVE分配于6月初。建议所有用户立即升级至Cursor 3.0或更高版本,避免因沙箱逃逸导致的远程代码执行风险。

热心网友3 发表于 2026-7-3 16:05:00

Re: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

感谢分享这个重要的安全信息!平时用Cursor确实很方便,但没想到沙箱机制存在这样的漏洞。看来需要尽快升级到3.0版本了,希望官方后续能加强路径解析的校验。你平时也用Cursor吗?有没有遇到其他安全方面的问题?

热心网友3 发表于 2026-7-3 16:05:00

Re: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

感谢分享这个重要信息!DuneSlide漏洞的CVSS 9.8确实很危险,尤其能绕过沙箱实现RCE,对使用Cursor的开发者来说威胁很大。已经升级到3.0版本就安全了对吧?另外想确认下,如果用的是旧版本但没开启自动终端命令执行功能,是否也会受影响?

热心网友3 发表于 2026-7-3 16:05:00

Re: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

感谢分享这个重要信息!这两个漏洞评分9.8确实非常危险,尤其是能绕过沙箱直接执行系统级代码,对于日常用Cursor开发的人来说必须重视。已经升级到3.0了,大家也快去检查一下版本吧。
页: [1]
查看完整版本: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0