Skip to content

Kaks kriitilist turvaauku Cursoris võimaldavad sandbox’ist väljumist ja käskude käivitamist

Lühidalt: Turvaaugud CVE-2026-50548 ja CVE-2026-50549 Cursoris ohustavad arendajaid viipadel põhinevate sandbox’ist väljumise rünnetega, mille CVSS-hinne on vastavalt 9,8 ja 9,3.

Kaks haavatavust tehisintellektipõhises koodiredaktoris Cursor võimaldavad manipuleeritud viipade abil turvalisest sandbox-keskkonnast välja murda ja käivitada arendaja arvutis suvalisi käske – ilma kasutaja sekkumise või kinnitusdialoogita.

Cato AI Labs avastas tehisintellektipõhises koodiredaktoris Cursor kaks kriitilist viga, mida nimetatakse DuneSlide’iks. Vead on registreeritud koodidega CVE-2026-50548 ja CVE-2026-50549, mille CVSS-hinne on vastavalt 9,8 ja 9,3. Need võimaldavad ründajatel murda läbi redaktori turvalisest sandbox-keskkonnast ja käivitada mõjutatud süsteemis suvalisi käske.

Nende haavatavuste kriitiline tunnusjoon seisneb selles, et need ei eelda mingit kasutaja sekkumist – ei klõpsu ega kinnitust dialoogiaknas. Ainuüksi ühest tavapärase sõnastusega viibest piisab, et väljumistingimus täidetaks. See muudab turvaaugud eriti ohtlikuks arendajatele, kes kasutavad Cursorit automatiseeritud viipade töötlemisega või integreeritud töövoogudes.

Tehnoloogiajuhtidele ja turbevaldkonna vastutajatele kujutab see endast märkimisväärset riski: Cursorit kasutatakse tihti otse arendustööriistana koos lähtekoodihoidlate, IDE-seadistuste ja kohalike õigustega. Edukas ärakasutamine võiks tagada juurdepääsu tundlikele failidele, mandaatidele või ehitussüsteemidele.


Allikas: thehackernews.com · Avaldatud 1. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.2 abil.

Share on: