Kritik İmleç Kusurları, Hızlı Enjeksiyonun Sandbox'tan Kaçmasına ve Komutları Çalıştırmasına İzin Verebilir Siber Güvenlik

Kritik İmleç Kusurları, Hızlı Enjeksiyonun Sandbox'tan Kaçmasına ve Komutları Çalıştırmasına İzin Verebilir

Bir AI kod düzenleyicisi olan Cursor'daki iki kusur, sıradan görünümlü tek bir istemin, editörün güvenlik sanal alanından çıkıp geliştiricinin bilgisa...

Bir AI kod düzenleyicisi olan Cursor'daki iki kusur, sıradan görünümlü tek bir istemin, editörün güvenlik sanal alanından çıkıp geliştiricinin bilgisayarında herhangi bir komutu çalıştırmasına izin verebilir. Kandırılacak bir tıklama veya göz ardı edilecek bir onay kutusu yoktur.

Cato AI Laboratuvarları çifti buldu ve onlara DuneSlide adını verdi. CVE-2026-50548 ve CVE-2026-50549 olarak izlenirler ve her ikisi de 10 üzerinden 9,8 (veya daha yeni CVSS 4.0 ölçeğinde 9,3) olarak derecelendirilmiştir.

Düzeltme zaten çıktı. Her iki hata da 2 Nisan'da yayımlanan Cursor 3.0'da yamalı ve 3.0'dan önceki tüm sürümler etkileniyor. İmlecin yaratıcısı, Fortune 500'ün yarısından fazlasının aracı kullandığını söylüyor; bu nedenle, aracı çalıştırırsanız hemen güncelleyin.

Korumalı alan ne işe yaradı ve nasıl bozuldu?

Önemli Gelişmeler

2.x satırından başlayarak, İmleç, yapay zeka aracısının verdiği terminal komutlarını varsayılan olarak bir sanal alan içinde çalıştırır: bu komutların dokunabileceği şeyleri sınırlayan kilitli bir kutu, böylece başıboş bir talimat makineyi mahvedemez.

DuneSlide bu kutudan çıkmakla ilgili. Bunun yolu hızlı enjeksiyondur. Saldırgan hiçbir zaman İmlecinize yazmaz. Model Bağlam Protokolü (MCP) aracılığıyla bağlı bir hizmet veya bir web aramasıyla döndürülen bir sayfa gibi temsilcinizin sizin adınıza okuduğu bir şeyin içine talimatlar yerleştirirler.

Normal bir soru sorarsınız, yolculuk için gizli talimatlar gelir ve sizin herhangi bir tıklama veya onay gerektirmediği için saldırı "sıfır tıklama"dır.

Detaylar ve Etkileri

Her iki kusur da aynı numarayı kullanıyor: aracının yazmasına izin verilmemesi gereken bir dosya yazmasını sağlayın, ardından bu yazmayı korumalı alanı kapatmak için kullanın.

CVE-2026-50548 bir ayarı kötüye kullanıyor. Korumalı alan, bir komutun çalışma klasörüne yazmaya izin verir ve bu klasör, Cursor'un run_terminal_cmd aracında isteğe bağlı bir parametre olan çalışma_dizinidir. Aracı onu varsayılan olmayan bir yola ayarladığında, İmleç bu yolu soru sormadan izin verilenler listesine ekler. Enjekte edilen talimatlar onu proje yerine bir sistem dosyasına yönlendirir. Korumalı alan yardımcısının üzerine yazın (macOS'te /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox) ve sonraki komutlar hiçbir korumalı alan olmadan çalıştırılır. ~/.zshrc gibi başlangıç ​​dosyaları da hedef olarak çalışır.

bir ayarı kötüye kullanır. Korumalı alan, bir komutun çalışma klasörüne yazmaya izin verir ve bu klasör, Cursor'un run_terminal_cmd aracında isteğe bağlı bir parametre olan çalışma_dizinidir. Aracı onu varsayılan olmayan bir yola ayarladığında, İmleç bu yolu soru sormadan izin verilenler listesine ekler. Enjekte edilen talimatlar onu proje yerine bir sistem dosyasına yönlendirir. Korumalı alan yardımcısının üzerine yazın (macOS'te /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox) ve sonraki komutlar hiçbir korumalı alan olmadan çalıştırılır. ~/.zshrc gibi başlangıç ​​dosyaları da hedef olarak çalışır. CVE-2026-50549 güvenlik kontrolünü kötüye kullanıyor. Yazmadan önce İmleç, gerçek hedefin projenizin içinde bulunduğunu doğrulamak için kısayolları (sembolik bağlantıları) çözer. Hata, geri dönüşte yatmaktadır: hedef mevcut olmadığı veya saldırgan yoldaki bir klasörden okuma erişimini kaldırdığı için bu kontrol başarısız olduğunda, İmleç vazgeçer ve bunun yerine kısayolun proje içi yoluna güvenir. Saldırgan, projenin dışına işaret eden bir kısayol oluşturur, kontrolün başarısız olmasına neden olur ve İmleç doğrudan bunun üzerinden aynı sanal alan yardımcısına yazar. Aynı kaçış, farklı kapı.

Korumalı alan etkisiz hale getirildikten sonra sonraki komut sizin adınıza çalışır. Bu, geliştiricinin makinesinin yanı sıra düzenleyicinin oturum açtığı tüm bulut veya SaaS çalışma alanlarının kontrolü anlamına gelir. Her şey zararsız görünen bir istemin sonucudur.

Bunun gerçek saldırılarda kullanıldığına dair hiçbir işaret yok. Cato, bunu aktif bir kampanya değil, araştırma olarak sunuyor ve kamuya açık güvenlik açığı kayıtları, yayın tarihi itibariyle bilinen bir istismara işaret etmiyor.

Cato her iki sorunu da 19 Şubat'ta bildirdi. Cato'nun ifadesine göre Cursor, tehdit modelinin MCP sunucularının, hatta resmi Linear çalışma alanı gibi standart sunucuların bile kötüye kullanımını kapsamadığını söyleyerek dört gün sonra bunları reddetti.

Sonuç ve Değerlendirme

Cato 26 Şubat'ta gerilimi tırmandırdı; İmleç raporları yeniden açtı, önceliklerini belirledi ve her iki düzeltmeyi de 3.0'da gönderdi. CVE kimlikleri 5 Haziran'da atandı.

İmleç, sembolik bağlantı hatası için kendi tavsiyesini yayınladı ve NVD kaydı yayında.

Teknik Analiz

İlk değil, muhtemelen son da değil

Sistem Güvenliği

DuneSlide, zehirli bir istemle başlayıp kod yürütmeyle sonuçlanan ve her biri farklı bir korkuluğu bozan İmleç hatalarının en sonuncusudur. Hacker News daha önceki turları ele aldı:

Gelecekte Ne Bekleniyor?

CurXecute (CVE-2025-54135, Ağustos 2025) aynı ekipten geldi ve o zamanlar Aim Security olarak faaliyet gösteriyordu. Yerleştirilen bir Slack mesajı, Cursor'un ~/.cursor/mcp.json yapılandırmasını yeniden yazdı ve komutları çalıştırdıktan sonra bile komutları çalıştırdı. kullanıcı düzenlemeyi reddetti. 1.3'te düzeltildi.

Check Point Research'ün MCPoison (CVE-2025-54136), saldırganın bir MCP yapılandırmasını bir kez onaylatmasına, ardından ikinci bir istem olmadan kötü amaçlı komutları sessizce değiştirmesine olanak tanır.

Nasıl Önlem Alınmalı?

CVE-2026-26268 (Şubat 2026), ajanın Git komutunu çalıştırdığı anda ateşlenen bubi tuzaklı bir Git kancasını bir depoya sakladı. 2.5'te yamalı.

2.x satırındaki sanal alan, Cursor'un önceki dalgaya verdiği yanıttı. DuneSlide cevaptan kaçmakla ilgilidir.

Uzmanların Görüşleri

Cato, diğer kodlama aracılarında da benzer kusurların ortaya çıktığını söylüyor ve sorunun bir kerelik bir diziden ziyade yapısal olduğunu savunuyor.

Bu, açık web'i okuyan bir aracıyı gönderen herkes için açık bir soru bırakıyor: Her girdiye düşmanca muamele mi edilmesi varsayılan haline geliyor, yoksa yama yama mücadele olarak mı kalıyor?

Paylaş: