Критические RCE-уязвимости DuneSlide угрожали Cursor IDE
В ходе масштабного исследования инструментов для разработки специалисты Cato AI Labs выявили две критические уязвимости, получившие общее название DuneSlide. Проблемы затрагивают Cursor IDE — среду, которую сегодня активно используют крупные корпоративные клиенты. Обе бреши, отслеживаемые как CVE-2026-50548 и CVE-2026-50549, получили максимальный балл CVSS 9.8, что свидетельствует о чрезвычайно высокой степени угрозы. DuneSlide вскрывает фундаментальные риски, связанные с механизмами изоляции команд, и демонстрирует, как злоумышленник может полностью обойти защитный sandbox, получив возможность Remote Code Execution (RCE).
Как работает DuneSlide: атака через доверие к песочнице
Ключевой элемент атаки — эксплуатация недостатков в способе, которым sandbox Cursor IDE обрабатывает параметры безопасности при запуске команд. Изначально песочница настроена так, чтобы разрешать запись только в текущий рабочий каталог. Злоумышленник превращает это ограниченное разрешение в полноценный выход за границы изолированной среды. Для этого используется prompt injection через внешне безобидный запрос к серверу или специально сформированный результат веб-поиска.
Цепочка эксплуатации выглядит следующим образом:
- Злоумышленник внедряет вредоносную инструкцию (prompt injection), которая адресуется агенту Cursor.
- Агент выполняет команду для создания symbolic link (symlink) внутри каталога проекта. Созданная ссылка указывает на файл далеко за пределами разрешённого рабочего пространства.
- Критический сбой происходит в логике path canonicalization (канонизации путей). В норме система обязана проверять, что конечная цель symlink находится внутри корня проекта. Однако если канонизация завершается неудачей — например, из-за отсутствия пути или нехватки прав доступа — проверка игнорируется, и система принимает изначальный путь символической ссылки как легитимный.
- Создав symlink, доступный для записи, злоумышленник обманывает Cursor Agent, заставляя его считать этот объект безопасным. Агент направляет операции на исполняемый файл самого sandbox’а, расположенный вне проектных границ.
Последний шаг позволяет перезаписать sandbox executable и нейтрализовать всю защитную функциональность песочницы. Итогом становится полное Remote Code Execution (RCE) на машине жертвы.
От первого отказа до экстренного патча
Команда Cato AI Labs следовала принципам responsible disclosure. Первоначальное уведомление было направлено разработчикам Cursor 19 февраля 2026 года. Поначалу сообщение отклонили: сторона Cursor посчитала, что вектор атаки выходит за рамки стандартной threat model. Однако после эскалации вопроса служба безопасности пересмотрела свою позицию и признала серьезность DuneSlide. Полноценные исправления были подтверждены и интегрированы в релиз Cursor client 3.0, выпущенный 2 апреля 2026 года.
Архитектурные риски: что стоит за DuneSlide
Инцидент с Cursor IDE подсвечивает системную проблему, характерную для современных сред программирования, активно внедряющих Large Language Models (LLM). Предоставление агентам возможности выполнять команды в локальной среде — мощный, но чрезвычайно опасный инструмент.
«Даже критически важная мера изоляции — sandboxing — не гарантирует безопасности. Присущие недостатки в механизмах валидации и разрешения путей могут быть использованы через сложные prompt injection, что приводит к серьезным security breaches», — подчеркивают исследователи Cato AI Labs.
Выводы отчета акцентируют внимание на необходимости значительно более комплексного подхода к защите development environments. Недостаточно просто поместить исполнение в песочницу; требуется строгая верификация на каждом этапе работы с файловой системой, особенно когда логика принятия решений доверена агентам, управляемым языковыми моделями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



