Segurança

Falhas críticas no editor de código Cursor AI podem permitir execução remota de código no sistema operacional

Duas vulnerabilidades críticas no popular editor de código com inteligência artificial Cursor podem permitir a execução remota de código no sistema operacional subjacente, segundo a Cato Networks. As falhas, identificadas como CVE-2026-50548 e CVE-2026-50549, com pontuação CVSS de 9,8, foram batizadas de DuneSlide e possibilitam ataques de injeção de prompt sem clique do usuário.


Ionut Arghire Sexta - 03 de Julho de 2026 às 16:06
SecurityWeek

Duas vulnerabilidades críticas no popular editor de código com inteligência artificial Cursor podem permitir a execução remota de código no sistema operacional subjacente, segundo a Cato Networks.

As falhas de segurança são catalogadas como CVE-2026-50548 e CVE-2026-50549 (com pontuação CVSS, ou Sistema de Pontuação de Vulnerabilidades Comuns, de 9,8) e foram batizadas de DuneSlide, justamente por levarem à execução remota de código (RCE, na sigla em inglês) fora do sandbox do ambiente integrado de desenvolvimento (IDE).

De acordo com a Cato, as falhas exploram a execução automática de comandos no terminal feita pelo Cursor dentro do sandbox, que não solicita aprovação do usuário, e podem ser disparadas quando a vítima pede ao IDE que ingira um payload controlado pelo atacante.

A primeira falha está relacionada aos limites de segurança do sandbox. Embora a execução de comandos deva ficar restrita ao diretório de trabalho atual, um valor fora do padrão atribuído ao parâmetro working_directory faz com que o caminho seja adicionado à lista de permissões.

Dessa forma, uma solicitação aparentemente inofensiva a um servidor MCP (Protocolo de Contexto de Modelo) pode injetar um prompt que instrui o modelo de linguagem de grande porte (LLM) a definir o diretório de trabalho para um caminho fornecido pelo atacante, fora do escopo do projeto.

Um agente malicioso pode sobrescrever o executável cursorsandbox, garantindo que "comandos futuros sejam executados sem as restrições do sandbox, de modo que instruções posteriores dentro da mesma injeção de prompt resultem em uma RCE fora do ambiente isolado", explica a Cato.

Completamente independente dessa vulnerabilidade, a segunda falha de segurança afeta casos específicos na resolução de caminhos de arquivos do IDE e pode ser explorada por meio de links simbólicos para burlar as proteções contra gravação fora dos limites permitidos.

Um atacante pode elaborar um prompt que, ao ser injetado no Cursor, instrui o agente a criar, dentro do diretório do projeto, um link simbólico apontando para um arquivo externo.

Uma falha na lógica de canonicalização de caminhos do agente (que tenta resolver o link simbólico para determinar sua localização e verificar se está no diretório do projeto) faz com que o Cursor acabe usando o caminho original do link simbólico.

"Um agente malicioso pode então criar um link simbólico somente de escrita, forçando o Cursor a assumir que o caminho resolvido é o do próprio link, em vez do caminho de destino. Isso impede que ele detecte que o destino final está fora dos limites, permitindo que o atacante faça um novo link para o executável cursorsandbox", detalha a Cato.

A Cato reportou as duas falhas ao Cursor em fevereiro. As correções para ambas foram incluídas no Cursor 3.0, lançado em 2 de abril, enquanto os identificadores CVE foram atribuídos no início de junho.

seguranca vulnerabilidades inteligencia artificial

FONTE

SecurityWeek