Cursor 3.0 corrige DuneSlide, deux RCE 9,8 via prompt injection
TL;DR
- Cato AI Labs a divulgué DuneSlide, deux failles critiques (CVE-2026-50548 et CVE-2026-50549, CVSS 9,8) affectant Cursor avant la version 3.0.
- Les bugs abusent le paramètre working_directory de run_terminal_cmd et la résolution de symlinks pour écrire hors du bac à sable et neutraliser le helper.
- Cursor a publié le correctif dans la version 3.0 le 2 avril 2026, après un signalement le 19 février et une attribution des CVE le 5 juin.
Deux failles critiques dans Cursor, l'éditeur de code piloté par IA, laissaient une simple injection de prompt s'échapper du bac à sable et exécuter des commandes arbitraires sur la machine du développeur. C'est ce que rapporte The Hacker News sur la base d'une divulgation de Cato AI Labs, qui a baptisé la paire de bugs DuneSlide.
Les deux vulnérabilités, CVE-2026-50548 et CVE-2026-50549, sont cotées 9,8 en CVSS (9,3 en CVSS 4.0). La première abuse le paramètre working_directory de l'outil run_terminal_cmd de Cursor : quand un agent règle ce chemin sur une valeur non standard, le sandbox autorise l'écriture sans la vérifier. La seconde exploite la logique de résolution des symlinks : quand la vérification de sécurité échoue, parce que la cible n'existe pas ou n'est pas lisible, Cursor fait confiance au chemin in-project du lien et écrit quand même hors du bac à sable. La cible privilégiée dans les deux cas, selon Cato, est le helper du sandbox lui-même, situé sous /Applications/Cursor.app, ou un fichier de démarrage comme ~/.zshrc.
Ce qui rend l'affaire notable, c'est le vecteur. Les scénarios décrits sont zero-click et transitent par les serveurs MCP ou par des résultats de recherche web injectés dans le contexte de l'agent, sans aucune approbation utilisateur. Une fois le helper neutralisé, les commandes suivantes s'exécutent avec les privilèges du développeur, ce qui expose au passage les services cloud auxquels la machine est connectée.
Cato indique avoir signalé les bugs le 19 février 2026, les CVE ont été attribués le 5 juin, et le correctif est livré dans Cursor 3.0, publié le 2 avril 2026. Toutes les versions antérieures sont exposées.
L'honnête caveat, c'est ce que le rapport ne dit pas : rien sur une exploitation observée en environnement réel avant la publication, rien sur la façon dont les déploiements en entreprise peuvent auditer leurs traces a posteriori, et rien sur la présence de patrons similaires dans d'autres IDE agentiques. Pour les équipes sécurité qui n'avaient pas encore de modèle de menace autour des intégrations MCP, DuneSlide sert de cas d'école utile : la surface d'attaque n'est pas le prompt système, c'est le contexte que l'agent accepte de n'importe quelle source non fiable.
Article original publié par thehackernews.com
Lire l'article original →Titre original : Cursor 3.0 corrige DuneSlide : deux failles CVSS 9,8 permettaient à une simple injection de prompt d'exécuter du code arbitraire