Cursor IDE の RCE 脆弱性 CVE-2026-50548/50549:プロンプト・インジェクションによるサンドボックス・エスケープ

Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click

2026/07/01 CyberSecurityNews — AI 搭載開発環境 Cursor IDE に存在する、2件の重大なリモート・コード実行 (RCE) 脆弱性 CVE-2026-50548/CVE-2026-50549 (CVSS 9.8) が、Cato AI Labs により報告された。DuneSlide と名付けられた、これらの脆弱性を悪用する攻撃者は、Cursor のサンドボックスからの完全なエスケープを達成する。

プロンプト・インジェクション攻撃による LLM の出力操作が、攻撃対象領域の一部として想定されていなかった時期があった。これらの脆弱性が示すのは、プロンプト・インジェクションが従来型のコード・パスにまで到達し得ることである。

悪用に成功した脅威アクターは、cursorsandbox バイナリなどの重要なシステム・ファイルを上書きできる。これにより、サンドボックス化されたターミナル・コマンドを、サンドボックス外で実行される完全な RCE へと変換し、ローカル・マシンと接続済み SaaS ワークスペースを侵害できる。

この 2 つの脆弱性は、ユーザーの権限や操作を必要とせずにトリガーされる。MCP サーバのレスポンスや汚染された Web 検索結果といった、攻撃者が制御する悪意のコンテンツを取り込むユーザーが、無害なプロンプトを発行するだけで攻撃が成立する。

Cursor IDE RCE Vulnerabilities
Cursor IDE RCE Vulnerabilities (Source: Cato AI Labs )

Cursor 2.x は承認を求めることなく、エージェントのターミナル・コマンドを、自動的にサンドボックス内で実行する。この設計は、単純なプロンプト・インジェクションのエスカレーションを制限しながら、承認疲れの低減を意図したものである。

脆弱性 #1:作業ディレクトリの操作

脆弱性 CVE-2026-50548 は、Cursor のサンドボックスが、コマンドの作業ディレクトリに書き込みアクセスを許可する際の仕組みに起因する。working_directory は、run_terminal_cmd ツールのオプションであり、LLM により制御されるパラメータである。このため、プロンプト・インジェクションにより、プロジェクト・ルート外の攻撃者が選択したパスを、エージェントに設定させることが可能になる。

これにより、攻撃者は、”/Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox” にある cursorsandbox ヘルパーや、”~/.zshrc” および “~/Library/LaunchAgents” などのファイルを含む、機密性の高い場所への書き込みが可能となる。それにより、同じインジェクション内で後続のコマンドに適用される、サンドボックス制限を無効化できる。

脆弱性 #2:シンボリックリンクの正規化バイパス

脆弱性 CVE-2026-50549 は、Cursor のパス解決ロジックに存在する欠陥である。プロンプト・インジェクションを介することで、エージェントが外部ファイルを指すシンボリックリンクを、プロジェクト・ディレクトリ内に作成することが可能となる。たとえば、リンク先が存在しない状況や、読み取り権限不足による Cursor の正規化処理が失敗した場合に、検証されていない元のシンボリックリンク・パスが、エージェントが信頼する処理へとフォールバックされる。

これにより、範囲外書き込みチェックをバイパスできる。攻撃者はシンボリックリンクを介して同一の cursorsandbox ヘルパーを上書きし、ユーザー操作を必要とすることなく、特権付き RCE を達成できる。


DuneSlide が浮き彫りにするのは、パラメータ検証およびパス解決におけるエッジケースが、プロンプト・インジェクションにより悪用される状況であれば、サンドボックス化だけでは自律型コーディング・エージェントを封じ込められないことである。

Cato AI Labs は、他の人気のコーディング・エージェントについても、責任ある開示を継続していると述べている。それが示すのは、AI 主導の開発ツールを保護するには、単発のパッチではなく、体系的かつアーキテクチャ・レベルの防御が必要であることだ。