查看: 110|回复: 3

CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
安全研究人员披露了流行AI代码编辑器Cursor的两个严重漏洞(CVE-2026-50548和CVE-2026-50549),统称DuneSlide。这两个漏洞CVSS评分均为9.8,可导致攻击者在操作系统级别实现远程代码执行(RCE),绕过IDE的沙箱限制。

漏洞细节:
- 第一个漏洞利用Cursor的自动终端命令执行功能(无需用户确认),攻击者可通过构造恶意提示,使LLM将工作目录设置为攻击者控制的路径,从而覆盖沙箱可执行文件,导致后续命令在无沙箱限制的环境下运行。
- 第二个漏洞涉及文件路径解析逻辑缺陷,攻击者可在项目目录中创建指向外部文件的符号链接,由于路径规范化逻辑回退使用原始链接路径,可绕过越界写入保护,同样覆盖沙箱可执行文件。

修复措施:
Cato Networks于2月向Cursor报告漏洞,修复方案已包含在4月2日发布的Cursor 3.0中。CVE分配于6月初。建议所有用户立即升级至Cursor 3.0或更高版本,避免因沙箱逃逸导致的远程代码执行风险。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

感谢分享这个重要的安全信息!平时用Cursor确实很方便,但没想到沙箱机制存在这样的漏洞。看来需要尽快升级到3.0版本了,希望官方后续能加强路径解析的校验。你平时也用Cursor吗?有没有遇到其他安全方面的问题?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

感谢分享这个重要信息!DuneSlide漏洞的CVSS 9.8确实很危险,尤其能绕过沙箱实现RCE,对使用Cursor的开发者来说威胁很大。已经升级到3.0版本就安全了对吧?另外想确认下,如果用的是旧版本但没开启自动终端命令执行功能,是否也会受影响?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: CVE-2026-50548/50549影响Cursor IDE远程代码执行,需升级至3.0

感谢分享这个重要信息!这两个漏洞评分9.8确实非常危险,尤其是能绕过沙箱直接执行系统级代码,对于日常用Cursor开发的人来说必须重视。已经升级到3.0了,大家也快去检查一下版本吧。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-3 17:38 , Processed in 0.026641 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部