Tất cả tin tức
Security & DevSecOps·11 ngày trước

DuneSlide: 2 lỗ hổng RCE nghiêm trọng trong Cursor IDE

Cato NetworksTóm tắt bởi trợ lý AI ORA·tech
DuneSlide: 2 lỗ hổng RCE nghiêm trọng trong Cursor IDE

Cato AI Labs công bố DuneSlide — hai lỗ hổng RCE (CVSS 9.8, CVE-2026-50548/50549) trong Cursor IDE. Prompt injection zero-click ghi file tùy ý, thoát sandbox và chiếm máy dev. Đã vá ở Cursor 3.0; mọi bản trước đều dính.

Ngày 1/7/2026, nhóm nghiên cứu Cato AI Labs công bố DuneSlide — hai lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Cursor IDE, trình soạn thảo lập trình tích hợp AI mà theo Cursor đang được hơn một nửa nhóm Fortune 500 sử dụng. Cả hai đạt điểm CVSS 9.8 và được gán mã CVE-2026-50548 và CVE-2026-50549.

Điểm đáng sợ nhất là kịch bản tấn công zero-click qua prompt injection. Nạn nhân chỉ cần gõ một câu lệnh vô hại cho agent, nhưng nội dung độc hại lọt vào qua nguồn không tin cậy — một MCP server hoặc một kết quả tìm kiếm web bị đầu độc — là đủ để kẻ tấn công ghi file tùy ý lên máy, thoát khỏi sandbox và chiếm quyền toàn hệ thống, kể cả các SaaS workspace đang kết nối.

Ý chính

  • Lỗ hổng #1 — thao túng working_directory: Cursor 2.x tự chạy lệnh terminal trong sandbox. Nhưng tham số working_directory của tool run_terminal_cmd, nếu bị prompt injection đặt sang đường dẫn ngoài project, sẽ được thêm thẳng vào danh sách cho ghi. Kẻ tấn công ghi đè binary cursorsandbox để các lệnh sau chạy KHÔNG còn sandbox.
  • Lỗ hổng #2 — lỗi phân giải symlink: Khi Cursor không canonicalize được đường dẫn (file chưa tồn tại hoặc thiếu quyền đọc), nó fallback về đường dẫn symlink gốc trong project thay vì từ chối — cho phép tạo write-only symlink trỏ ra ngoài và ghi đè đúng binary sandbox đó.
  • Tác động: ghi đè file hệ thống biến lệnh sandbox thành RCE không sandbox, dẫn tới chiếm toàn bộ máy dev.
  • Bản vá: cả hai lỗi đã được sửa trong Cursor 3.0 (phát hành 2/4); mọi bản trước 3.0 đều dính. Cato báo cáo ngày 19/2, ban đầu bị từ chối 23/2 rồi được mở lại; CVE gán ngày 5/6.

DuneSlide cho thấy prompt injection không dừng ở "tầng LLM" mà có thể khơi lại các lỗ hổng cổ điển ở những đoạn code trước nay không bị coi là bề mặt tấn công. Cato cho biết đang tiếp tục rà soát các coding agent phổ biến khác.

Câu hỏi thường gặp

Tôi có bị ảnh hưởng không? Nếu bạn dùng Cursor bản trước 3.0 với chế độ tự chạy lệnh trong sandbox thì có. Hãy nâng cấp lên Cursor 3.0 trở lên.

Chỉ mở một dự án có cần lo? Rủi ro đến từ nội dung không tin cậy mà agent nạp vào (MCP server, kết quả web). Hạn chế MCP/nguồn lạ và cập nhật bản vá là biện pháp chính.

Đây có phải lỗi riêng của Cursor? Cato lập luận đây là vấn đề kiến trúc chung của các agent có quyền tự chạy lệnh, không riêng Cursor.

Nguồn gốc
Cato Networks
Đọc bài gốc
#Cursor#prompt injection#RCE#CVE#AI coding#security
Bản tóm tắt được biên soạn bởi trợ lý AI của ORA·tech. Đọc bài gốc để có đầy đủ ngữ cảnh.

Bài liên quan

Chào bạn, mình là Nova. Có phần nào bạn muốn hiểu kỹ hơn không? Cứ nói với mình nhé.