AI Kod Editörü Cursor'da Kritik Güvenlik Açıkları: Tek Bir Prompt ile Sistem Ele Geçirilebilir Siber Güvenlik

AI Kod Editörü Cursor'da Kritik Güvenlik Açıkları: Tek Bir Prompt ile Sistem Ele Geçirilebilir

Cursor AI kod editöründe bulunan iki kritik açık, tek bir sıradan görünen prompt ile güvenlik sandbox'ını aşarak geliştirici bilgisayarında komut çalı

Cursor AI kod editöründe keşfedilen iki kritik güvenlik açığı, geliştiriciler için ciddi bir tehdit oluşturuyor. Cato AI Labs tarafından bulunan ve DuneSlide adı verilen bu açıklar, CVE-2026-50548 ve CVE-2026-50549 olarak izleniyor ve her ikisi de 10 üzerinden 9,8 puan alarak 'kritik' seviyede değerlendiriliyor. Saldırgan, herhangi bir tıklama veya onay gerektirmeden, zararsız görünen bir prompt ile editörün güvenlik sandbox'ını aşabiliyor ve geliştiricinin bilgisayarında herhangi bir komutu çalıştırabiliyor. Cursor 3.0 sürümüyle yayınlanan güncelleme, bu açıkları kapatıyor. Fortune 500 şirketlerinin yarısından fazlasının kullandığı bu aracı kullananların derhal güncelleme yapması öneriliyor.

Sandbox, Cursor'un 2.x sürümlerinden itibaren AI ajanının terminal komutlarını sınırlamak için getirilmiş bir güvenlik önlemiydi. Ancak DuneSlide, prompt injection yöntemiyle bu sandbox'ı aşmayı başarıyor. Saldırgan, doğrudan kullanıcının Cursor'una yazmak yerine, Model Context Protocol (MCP) bağlantılı bir hizmete veya web arama sonucuna gizlediği talimatlarla ajanı etkiliyor. Kullanıcı normal bir soru sorduğunda, bu gizli talimatlar da devreye giriyor ve hiçbir tıklama veya onay gerektirmediği için 'sıfır tıklamalı' bir saldırı gerçekleşiyor.

İki açık da benzer bir mantıkla çalışıyor: Ajanın yazmasına izin verilmeyen bir dosyayı yazmasını sağlayıp, bu yazma işlemini sandbox'ı devre dışı bırakmak için kullanıyor. CVE-2026-50548, çalışma dizini parametresini (working_directory) suiistimal ediyor. Sandbox, komutun çalıştırıldığı klasöre yazma izni veriyor ve ajan varsayılan olmayan bir yol belirlediğinde, Cursor bu yolu sorgusuz sualsiz izinli listeye ekliyor. Saldırgan, bu parametreyi sistem dosyalarını (örneğin macOS'ta sandbox yardımcısı veya ~/.zshrc) hedefleyerek sandbox'ı etkisiz hale getirebiliyor. CVE-2026-50549 ise sembolik link (symlink) güvenlik kontrolünü atlatıyor. Cursor, yazma öncesinde sembolik linkin gerçek hedefini kontrol ediyor, ancak bu kontrol başarısız olduğunda (hedef mevcut değilse veya okuma izni yoksa) güvenlik kontrolünden vazgeçip linki takip ediyor. Saldırgan, proje dışına yönlendiren bir sembolik link oluşturarak aynı sandbox yardımcısına yazabiliyor.

Sandbox devre dışı bırakıldıktan sonra, bir sonraki komut kullanıcının yetkileriyle çalışıyor ve geliştiricinin bilgisayarının yanı sıra editörün bağlı olduğu bulut veya SaaS çalışma alanları da tehlikeye giriyor. Henüz bu açıkların gerçek saldırılarda kullanıldığına dair bir kanıt yok. Cato, sorunları 19 Şubat'ta bildirmiş, Cursor ise başlangıçta tehdit modeli kapsamında olmadığını belirterek reddetmiş, ancak 26 Şubat'ta yapılan itiraz üzerine yeniden değerlendirip 3.0 sürümüyle düzeltmeyi yayınlamış. Bu, Cursor'da daha önce de görülen benzer açıkların (CurXecute, MCPoison, CVE-2026-26268) bir devamı niteliğinde. Cato, bu açıkların yapısal bir sorun olduğunu ve diğer AI kod ajanlarında da benzer güvenlik zafiyetleri bulduğunu belirtiyor. Bu durum, web'e bağlı AI ajanlarının her girdiyi düşmanca kabul etmesi gerektiği sorusunu gündeme getiriyor.

Paylaş: