
Dos fallas en Cursor, un editor de código de IA, podrían permitir que un único mensaje simple evite el entorno seguro del editor y ejecute comandos arbitrarios en la computadora de un desarrollador. No hay que hacer clics ni casillas de aprobación que ignorar.
Cato AI Labs descubrió el par y lo llamó DuneSlide. Estos tienen un seguimiento como CVE-2026-50548 y CVE-2026-50549, ambos con una calificación de 9,8 sobre 10 (9,3 en la nueva escala CVSS 4.0).
La solución ya ha sido publicada. Ambos errores fueron parcheados en Cursor 3.0, lanzado el 2 de abril, y todas las versiones anteriores a la 3.0 se ven afectadas. Según los creadores de Cursor, más de la mitad de las empresas Fortune 500 utilizan esta herramienta, así que si la estás ejecutando, actualízala ahora.
El propósito de la caja de arena y cómo se rompió.
A partir de la línea 2.x, Cursor ejecuta comandos de terminal emitidos por agentes de IA en una zona de pruebas de forma predeterminada. Una zona de pruebas es una caja cerrada que limita lo que tus comandos pueden tocar, de modo que las instrucciones perdidas no puedan destruir tu máquina.
DuneSlide pretende salirse de esa caja. La solución es una inyección inmediata. El atacante nunca escribe en el cursor. Incorporan instrucciones dentro de lo que el agente lee en su nombre, como un servicio conectado a través del Protocolo de contexto modelo (MCP) o una página devuelta por una búsqueda web.
Haz las preguntas habituales y aparecerán instrucciones ocultas durante el viaje. El ataque es de «clic cero», ya que no se requiere ningún clic ni aprobación.
Ambos defectos utilizan el mismo truco. Es decir, haga que el agente escriba un archivo en el que no se le debería permitir escribir y use esa escritura para desactivar el entorno de pruebas.
CVE-2026-50548 explota la configuración. El sandbox permite escribir comandos en la carpeta de trabajo, que es el parámetro opcional directorio_de_trabajo de la herramienta run_terminal_cmd de Cursor. Si el agente establece una ruta no predeterminada, el cursor agregará esa ruta a la lista de permisos de escritura sin ningún problema. Las instrucciones insertadas apuntan al archivo del sistema, no al proyecto. Si anula el asistente de sandbox (en macOS, /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox), los comandos posteriores se ejecutarán sin un sandbox. Los archivos de inicio como ~/.zshrc también pueden servir como objetivos. CVE-2026-50549 explota los controles de seguridad. Antes de escribir, el cursor resuelve accesos directos (enlaces simbólicos) para garantizar que el destino real esté dentro del proyecto. El error es una alternativa. Si la verificación falla porque el objetivo no existe o el atacante eliminó el acceso de lectura de una carpeta en la ruta, el Cursor se da por vencido y en su lugar confía en la ruta del acceso directo dentro del proyecto. El atacante crea un acceso directo que apunta fuera del proyecto, lo que obliga a que la verificación falle y el cursor escribe directamente a través de él en el mismo asistente de sandbox. Mismo escape, diferente puerta.
Una vez que la zona de pruebas está deshabilitada, los siguientes comandos se ejecutan como usuario: Esto significa controlar la nube o el espacio de trabajo SaaS en el que está iniciado sesión el editor, además de la máquina del desarrollador. Todo comienza con un mensaje aparentemente inofensivo.
No hay evidencia de que esto se haya utilizado en un ataque real. Cato presenta esto como una investigación más que como una campaña activa, y los registros de vulnerabilidad publicados no indican ningún exploit conocido en el momento de la publicación.
Cato informó sobre ambos problemas el 19 de febrero. Como explica Cato, Cursor rechazó estos problemas cuatro días después, afirmando que su modelo de amenaza no cubre la explotación de servidores MCP (ni siquiera servidores estándar como los espacios de trabajo oficiales de Linear).
El Sr. Cato intensificó el incidente el 26 de febrero. Cursor reabrió el informe, le dio prioridad y publicó ambas correcciones en 3.0. El CVE ID se asignó el 5 de junio.
Cursor ha publicado su propio aviso sobre errores de enlaces simbólicos y su registro NVD está activo.
No es el primero y probablemente no será el último.
DuneSlide es el último de una serie de errores de cursor que comienzan con un mensaje dañino y terminan con la ejecución de código, cada uno de los cuales rompe una barrera de seguridad diferente. Hacker News cubrió rondas anteriores.
CurXecute (CVE-2025-54135, agosto de 2025) pertenece al mismo equipo y luego opera como Aim Security. Un mensaje de Slack colocado reescribió la configuración ~/.cursor/mcp.json de Cursor y ejecutó comandos incluso después de que el usuario se negó a editar. Corregido en 1.3. MCPoison de Check Point Research (CVE-2025-54136) permite a los atacantes aprobar una configuración de MCP una vez y luego intercambiar silenciosamente comandos maliciosos sin solicitar una segunda vez. CVE-2026-26268 (febrero de 2026) ocultó un gancho de Git con trampa explosiva en un repositorio que se activó en el momento en que el agente ejecutó un comando de Git. Parcheado en 2.5.
La línea 2.x de sandboxes fue la respuesta de Cursor a esa ola anterior. DuneSlide se trata de escapar de la respuesta.
Cato revela fallas similares en otros agentes de codificación y afirma que el problema es estructural y no una serie de problemas temporales.
Esto deja preguntas abiertas para aquellos agentes de envío que leen la web abierta sobre si tratar todos los aportes como contradictorios será lo predeterminado o si seguirá siendo una lucha parche por parche.
Source link
