Cato AI Labs araştırmacıları, popüler AI kod editörü Cursor'da iki kritik güvenlik açığı keşfetti. DuneSlide adı verilen bu açıklar, bir geliştiricinin sıradan görünen bir istem yazmasıyla editörün güvenlik sandbox'ını aşarak bilgisayarda herhangi bir komutu çalıştırmasına olanak tanıyor. CVE-2026-50548 ve CVE-2026-50549 olarak izlenen kusurlar, CVSS 4.0 skalasında 9.3 puan alarak en yüksek risk seviyesinde değerlendirildi. Cursor 3.0 sürümüyle birlikte yayınlanan yamalar, 3.0 öncesi tüm sürümleri etkileyen bu açıkları kapatıyor.
Her iki güvenlik açığı da prompt injection saldırısıyla başlıyor. Saldırgan, geliştiricinin Cursor ajanının okuduğu bir kaynağa (örneğin bir MCP sunucusu ya da web arama sonucu) zararlı talimatlar yerleştiriyor. Geliştirici normal bir soru sorduğunda, bu gizli talimatlar da devreye giriyor ve hiçbir tıklama veya onay gerektirmeden sandbox'ı devre dışı bırakıyor. CVE-2026-50548, Cursor'un run_terminal_cmd aracındaki working_directory parametresini istismar ediyor. Ajanın belirttiği çalışma dizini otomatik olarak izinli yazma listesine ekleniyor; saldırgan bu yolu sistem dosyalarına yönlendirerek sandbox yardımcısının üzerine yazabiliyor.
CVE-2026-50549 ise sembolik bağlantı (symlink) kontrolündeki bir zafiyeti kullanıyor. Cursor, yazma işlemi öncesinde sembolik bağlantıları çözümleyerek gerçek hedefin proje içinde olduğunu doğruluyor. Ancak bu kontrol başarısız olduğunda (hedef dosya yoksa veya saldırgan bir klasörün okuma iznini kaldırmışsa), Cursor güvenlik kontrolünü atlayarak sembolik bağlantının işaret ettiği proje içi yola güveniyor. Saldırgan, proje dışına işaret eden bir sembolik bağlantı oluşturup kontrolü başarısız kılarak aynı sandbox yardımcısının üzerine yazabiliyor. Her iki yöntem de sandbox'ı etkisiz hale getirip sonraki komutların geliştiricinin yetkileriyle çalışmasına yol açıyor.
Cato AI Labs, bu açıkları 19 Şubat'ta Cursor ekibine bildirdi. İlk başta tehdit modeli kapsamı dışında olduğu gerekçesiyle reddedilen raporlar, 26 Şubat'ta yeniden değerlendirildi ve 2 Nisan'da yayınlanan 3.0 sürümüyle düzeltildi. DuneSlide, Cursor'da daha önce keşfedilen CurXecute (CVE-2025-54135) ve MCPoison (CVE-2025-54136) gibi açıkların bir devamı niteliğinde. Araştırmacılar, bu tür zafiyetlerin yapısal bir sorun olduğunu ve diğer kodlama ajanlarında da benzer açıklar bulduklarını belirtiyor. Cursor kullanıcılarının en kısa sürede güncelleme yapmaları öneriliyor.