Cursor IDEに存在する2件の深刻なリモートコード実行(RCE)脆弱性により、攻撃者はプロンプトインジェクションを悪用してエディタのサンドボックスから脱出し、開発者のマシンを乗っ取ることが可能です。
Cato AI Labsはこれらの脆弱性を「DuneSlide」と総称して公表しました。対象となるのはFortune 500企業の半数以上が使用しているAI搭載コードエディタです。
CVE-2026-50548およびCVE-2026-50549として追跡されている両脆弱性はCVSS 3.1スコアで9.8を記録しており、ゼロクリックのプロンプトインジェクションによってシステム全体の侵害にまでエスカレーションする可能性があります。
この攻撃チェーンは、開発者が何気なく送信したプロンプトがきっかけとなり、Cursorのエージェントが意図せずMCPサーバーの応答や汚染されたWeb検索結果など、攻撃者が制御する信頼できないソースからコンテンツを取り込むことで始まります。
最初の無害なプロンプト以外にユーザーのクリックや承認は一切必要とされないため、これは真の意味でのゼロクリック攻撃ベクトルとなっています。
ペイロードが処理されると、注入された指示がCursorのサンドボックスロジックを操作し、cursorサンドボックスヘルパーバイナリへの書き込みを実行します。これにより、同一セッション内で以降実行されるすべてのコマンドに対するサンドボックス保護が無効化されます。
Cursor 3.0より前のバージョンでは、run_terminal_cmdツールがサンドボックスポリシーを構築する際、コマンドのカレントワーキングディレクトリへの書き込みアクセスを許可してしまいます。
working_directoryは任意指定でLLMが制御可能なパラメータであるため、プロンプトインジェクションによってエージェントを誘導し、プロジェクトの範囲外にある攻撃者が選択した任意のパスを設定させることが可能です。Cursorはこれを無条件に書き込み許可リストへ追加してしまいます。
これにより攻撃者はCursorのサンドボックス実行ファイルを直接上書きでき、以降のサンドボックス化されたコマンドをサンドボックスなしのRCEへと変換できてしまいます。
2つ目の脆弱性は構造的に独立したもので、CursorがWriteツールの呼び出しを許可する前に書き込み対象を検証する仕組みを悪用します。
Cursorはシンボリックリンクのパスを正規化し、それがプロジェクトルート内で解決されることを確認しようとします。しかし、対象が存在しない、または読み取り権限がないために正規化に失敗した場合、エージェントは書き込みをブロックする代わりに、シンボリックリンクのプロジェクト内パスをそのまま信頼してしまいます。
攻撃者はcursorsandboxバイナリを指す書き込み専用のシンボリックリンクを仕掛けることで、Cursorを欺いてそこを経由した書き込みを行わせ、以降のコマンドに対するサンドボックス制限を無効化させることができます。
Cato AI Labsが報告した両問題はCursorチームに対して2月19日に伝えられましたが、Cursorの脅威モデルがMCPサーバーの悪用を想定していなかったという理由で、当初2月23日に却下されていました。
2月26日にエスカレーションが行われた後、セキュリティチームは報告内容を再度開いてトリアージを実施し、working-directoryの問題に対する修正が2026年4月2日にリリースされたCursor 3.0で提供されること、そしてシンボリックリンクの修正が6月1日までに続くことを確認しました。
3.0より前のすべてのバージョンのCursorは依然として脆弱な状態にあり、Fortune 500企業の大多数を含め、このIDEを運用している組織はアップグレードが完了しているかどうかを確認する必要があります。
Cato Networksは、他の主要なAIコーディングエージェントに対しても同様の責任ある開示に基づく調査を実施していることを明らかにしており、DuneSlideを単発の不具合の組み合わせではなく、システム的なアーキテクチャ上のリスクを示す証拠だと位置づけています。
翻訳元: https://cyberpress.org/cursor-ide-critical-rce-flaws/