Cursor : failles critiques DuneSlide
lun, 06/07/2026 - 10:40
Cato Networks vient de révéler 2 failles critiques dans Cursor IDE : CVE-2026-50548 et CVE-2026-50549. Elles sont appelées DuneSlide.

Ces failles permettent à un attaquant d’échapper à l’environnement isolé de l’IDE et d’obtenir une exécution de code à distance sur la machine de l’utilisateur. En exploitant l’une ou l’autre de ces vulnérabilités, un acteur malveillant peut écraser des fichiers système critiques, désactiver les protections du sandbox et compromettre entièrement la machine hôte ainsi que les espaces de travail SaaS connectés.
L'attaque ne nécessite ni privilèges préalables ni validation particulière de la part du développeur. Elle peut être déclenchée avec une simple requête qui intègre, sans le savoir, une charge contrôlée par un attaquant depuis une source non fiable, comme un serveur MCP ou un résultat de recherche web piégé. Les recherches de Cato AI Labs montrent qu'une prompt injection peut dépasser la couche LLM pour exploiter des mécanismes internes qui n'étaient jusqu'à présent pas considérés comme faisant partie de la surface d'attaque.
Les deux vulnérabilités reposent sur des faiblesses distinctes dans la gestion des paramètres d'exécution et de la résolution des chemins de fichiers. Dans les deux cas, un attaquant peut contourner les mécanismes d'isolation de Cursor pour écrire dans des fichiers système critiques, neutraliser le sandbox et obtenir une exécution de code à distance.
Ces CVE ont été signalées à Cursor dès le 19 février. Les correctifs ont été déployés en avril dans Cursor 3.0.
Analyse technique : https://www.catonetworks.com/blog/duneslide-two-critical-rce-vulnerabilities/

