Auf den Punkt: Zwei Sandbox-Escape-Schwachstellen (CVE-2026-50548, CVE-2026-50549, CVSS 9,8) in Cursor ermöglichen über manipulierte Prompts Remote Code Execution auf dem Betriebssystem — Patch seit April vorhanden.
Das Sicherheitsunternehmen Cato Networks hat zwei kritische Schwachstellen in der KI-Entwicklungsumgebung Cursor offengelegt, die es Angreifern erlauben, die Sandbox zu umgehen und Code direkt auf dem Host-System auszuführen — ohne Nutzerbestätigung. Betroffen sind Versionen vor 3.0.
Cato Networks hat die beiden als „DuneSlide“ bezeichneten Schwachstellen registriert und ihnen die CVE-IDs CVE-2026-50548 und CVE-2026-50549 zugewiesen. Beide erreichen einen CVSS-Wert von 9,8 und ermöglichen es, aus der isolierten Umgebung von Cursor auszubrechen und Befehle direkt auf dem zugrunde liegenden Betriebssystem auszuführen. Das Kernproblem: Cursor führt Terminalbefehle innerhalb der Sandbox automatisch aus, ohne dass der Nutzer diese vorher bestätigen muss.
Die erste Schwachstelle nutzt eine Fehlkonfiguration der Arbeitsverzeichnis-Validierung aus. Normalerweise ist die Befehlsausführung strikt auf das aktuelle Projektverzeichnis begrenzt. Über einen manipulierten Prompt oder über einen externen MCP-Server kann der Parameter für das Arbeitsverzeichnis auf einen beliebigen Wert gesetzt werden — dieser wird ungeprüft in die interne Whitelist übernommen. Dadurch können Angreifer die zentrale Sandbox-Steuerungsdatei (cursorsandbox) überschreiben, woraufhin alle weiteren Befehle ohne Sandkasten-Einschränkung ablaufen.
Die zweite Schwachstelle betrifft die Pfadauflösung: Der Agent lässt sich dazu bewegen, innerhalb des Projektordners einen symbolischen Link zu erzeugen, der auf Dateien außerhalb dieses Bereichs zeigt. Bei der Überprüfung dieses Links begeht Cursor einen Fehler und arbeitet mit dem ursprünglichen Link-Pfad weiter statt das tatsächliche Ziel zu erkennen. Dadurch wird die eigentliche Schutzmechanismus umgangen, und auch hier kann die Datei cursorsandbox manipuliert werden.
Cato Networks informierte die Cursor-Entwickler bereits im Februar über die Probleme. Mit Version 3.0, die Anfang April veröffentlicht wurde, wurden entsprechende Korrektionen ausgeliefert. Die offiziellen CVE-Nummern folgten erst Anfang Juni. Für CTOs ist entscheidend: Alle Cursor-Installationen müssen auf mindestens Version 3.0 aktualisiert werden, um vor diesen Angriffsszenarien geschützt zu sein.
Quelle: www.it-daily.net · Erschienen 6. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.