Twee fouten in Cursor, een AI-code-editor, kunnen ervoor zorgen dat een enkele, gewoon ogende prompt uit de veiligheidssandbox van de editor kan breken en elke opdracht op de computer van een ontwikkelaar kan uitvoeren. Er is geen klik om voor te vallen en geen goedkeuringsvak om te negeren.
Cato AI Labs vond het paar en gaf ze een naam Duinglijbaan. Ze worden bijgehouden als CVE-2026-50548 en CVE-2026-50549, beide beoordeeld met een 9,8 op 10 (of 9,3 volgens de nieuwere CVSS 4.0-schaal).
De oplossing is er al. Beide bugs zijn verholpen in Cursor 3.0, uitgebracht op 2 april, en elke versie vóór 3.0 wordt beïnvloed. De maker van Cursor zegt dat meer dan de helft van de Fortune 500-bedrijven de tool gebruikt, dus als je deze gebruikt, update dan nu.
Waar de sandbox voor diende en hoe deze kapot ging
Vanaf de 2.x-regel voert Cursor de terminalopdrachten van zijn AI-agent standaard uit in een sandbox: een vergrendelde doos die beperkt wat deze opdrachten kunnen aanraken, zodat een verdwaalde instructie de machine niet kan verwoesten.
DuneSlide gaat over uit die doos komen. De manier om binnen te komen is een snelle injectie. De aanvaller typt nooit uw Cursor in. Ze plaatsen instructies in iets dat uw agent namens u leest, zoals een verbonden service via het Model Context Protocol (MCP) of een pagina die wordt geretourneerd door een zoekopdracht op internet.
Je stelt een normale vraag, de verborgen instructies komen mee voor de rit, en omdat er geen klik of goedkeuring van jou nodig is, is de aanval ‘zero-click’.
Beide fouten maken gebruik van dezelfde truc: laat de agent één bestand schrijven dat hij niet mag schrijven, en gebruik dat schrijven vervolgens om de sandbox uit te schakelen.
- CVE-2026-50548 misbruik maakt van een instelling. De sandbox maakt schrijven naar de werkmap van een opdracht mogelijk, en die map is een optionele parameter, werkmap, in Cursors run_terminal_cmd-tool. Wanneer de agent het pad instelt op een niet-standaardpad, voegt Cursor dat pad zonder twijfel toe aan de lijst met toegestane schrijfmogelijkheden. Geïnjecteerde instructies verwijzen naar een systeembestand in plaats van naar het project. Overschrijf de sandbox-helper zelf (op macOS, /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox), en latere opdrachten worden helemaal zonder sandbox uitgevoerd. Opstartbestanden zoals ~/.zshrc werken ook als doel.
- CVE-2026-50549 misbruik maakt van een veiligheidscontrole. Voordat Cursor schrijft, lost Cursor snelkoppelingen (symlinks) op om te bevestigen dat de echte bestemming zich in uw project bevindt. De bug is de fallback: wanneer die controle mislukt, omdat het doel niet bestaat of de aanvaller de leestoegang van een map in het pad verwijdert, geeft Cursor het op en vertrouwt in plaats daarvan het pad in het project van de snelkoppeling. Een aanvaller maakt een snelkoppeling die buiten het project wijst, dwingt de controle te mislukken en Cursor schrijft er rechtstreeks doorheen naar dezelfde sandbox-helper. Zelfde ontsnapping, andere deur.
Zodra de sandbox is geneutraliseerd, wordt de volgende opdracht uitgevoerd zoals jij. Dat betekent controle over de machine van de ontwikkelaar, plus eventuele cloud- of SaaS-werkruimten waarbij de editor is aangemeld. Het volgt allemaal uit één onschuldig ogende prompt.
Er zijn geen aanwijzingen dat dit bij echte aanvallen is gebruikt. Cato presenteert het als onderzoek, niet als een actieve campagne, en uit het openbare kwetsbaarheidsrapport blijkt dat er op het moment van publicatie geen sprake is van misbruik.
Cato meldde beide problemen op 19 februari. Volgens Cato verwierp Cursor ze vier dagen later en zei dat het dreigingsmodel geen misbruik van MCP-servers dekte, zelfs niet van standaardservers zoals de officiële lineaire werkruimte.
Cato escaleerde op 26 februari; Cursor heropende de rapporten, analyseerde ze en leverde beide oplossingen in 3.0. De CVE-ID’s zijn op 5 juni toegewezen.
Cursor heeft zijn eigen advies over de symlink-bug gepubliceerd en het NVD-record is live.
Niet de eerste, en waarschijnlijk ook niet de laatste
DuneSlide is de nieuwste in een reeks Cursor-bugs die beginnen met een vergiftigde prompt en eindigen in het uitvoeren van code, waarbij elke bug een andere vangrail verslaat. The Hacker News had betrekking op de eerdere rondes:
- CurXecute (CVE-2025-54135, augustus 2025) kwam uit hetzelfde team en opereerde toen onder de naam Aim Security. Een geplant Slack-bericht herschreef de ~/.cursor/mcp.json-configuratie van Cursor en voerde opdrachten uit, zelfs nadat de gebruiker de bewerking had afgewezen. Opgelost in 1.3.
- Met MCPoison (CVE-2025-54136), van Check Point Research, kan een aanvaller een MCP-configuratie eenmaal goedgekeurd krijgen en vervolgens stilletjes kwaadaardige commando’s uitwisselen zonder een tweede prompt.
- CVE-2026-26268 (februari 2026) verborg een Git-hook met boobytraps in een repository die activeerde op het moment dat de agent een Git-commando uitvoerde. Gepatcht in 2.5.
De sandbox in de 2.x-lijn was Cursors antwoord op die eerdere golf. DuneSlide gaat over het ontsnappen aan het antwoord.
Cato zegt dat het vergelijkbare tekortkomingen in andere codeermiddelen aan het licht brengt en stelt dat het probleem eerder structureel is dan een reeks eenmalige problemen.
Dat laat een open vraag open voor iedereen die een agent levert die het open web leest: of het behandelen van elke input als vijandig de standaard wordt, of een patch-voor-patch-klauteren blijft.