Cato AI Labs araştırmacıları, popüler yapay zeka kod editörü Cursor'da iki kritik güvenlik açığı keşfetti. DuneSlide adı verilen bu açıklar, tek bir sıradan görünen istemin editörün güvenlik sandbox'ını aşarak geliştiricinin bilgisayarında herhangi bir komutu çalıştırabilmesine izin veriyor. CVE-2026-50548 ve CVE-2026-50549 olarak izlenen açıklar, CVSS 3.0 skalasında 9.8, yeni CVSS 4.0 skalasında ise 9.3 puan aldı. Cursor 3.0 sürümüyle birlikte yayınlanan yamalar, 2 Nisan'da kullanıma sunuldu ve 3.0 öncesi tüm sürümler etkileniyor. Cursor'un üreticisi, Fortune 500 şirketlerinin yarısından fazlasının bu aracı kullandığını belirterek kullanıcıları acilen güncellemeye çağırdı.
Açıkların temelinde prompt injection (istem enjeksiyonu) saldırısı yatıyor. Saldırgan, doğrudan Cursor'a yazı yazmak yerine, ajanın okuduğu bir kaynağa (örneğin MCP üzerinden bağlı bir servis veya web arama sonucu) kötü niyetli talimatlar yerleştiriyor. Kullanıcı masum bir soru sorduğunda, gizli talimatlar da devreye giriyor. Hiçbir tıklama veya onay gerektirmediği için bu saldırı 'sıfır tıklamalı' olarak adlandırılıyor. Her iki açık da aynı temel tekniği kullanıyor: ajanın yazmasına izin verilmemesi gereken bir dosyayı yazmasını sağlamak ve bu yazma işlemini sandbox'ı devre dışı bırakmak için kullanmak.
CVE-2026-50548, Cursor'un run_terminal_cmd aracındaki working_directory parametresini istismar ediyor. Sandbox, komutun çalışma klasörüne yazma izni veriyor ve ajan varsayılan olmayan bir yol belirlediğinde Cursor bu yolu sorgusuz sualsiz izinli listeye ekliyor. Enjekte edilen talimatlar, proje yerine sistem dosyalarını hedef alıyor. Örneğin macOS'ta sandbox yardımcısı olan cursorsandbox dosyasının üzerine yazıldığında, sonraki komutlar sandbox olmadan çalışıyor. Benzer şekilde ~/.zshrc gibi başlangıç dosyaları da hedef olabiliyor. CVE-2026-50549 ise bir güvenlik kontrolünü atlıyor. Cursor, yazma işlemi öncesinde sembolik bağlantıları (symlink) çözerek gerçek hedefin proje içinde olduğunu doğruluyor. Açık, bu kontrol başarısız olduğunda Cursor'un sembolik bağlantının proje içi yoluna güvenmesinden kaynaklanıyor. Saldırgan, proje dışını gösteren bir sembolik bağlantı oluşturup kontrolü başarısız kılarak aynı sandbox yardımcısına yazabiliyor.
Nasıl Önlem Alınmalı?
Sandbox etkisiz hale getirildikten sonra, bir sonraki komut kullanıcının yetkileriyle çalışıyor. Bu, geliştiricinin makinesinin tam kontrolü ve editörün bağlı olduğu bulut veya SaaS çalışma alanlarına erişim anlamına geliyor. Şu ana kadar bu açıkların gerçek saldırılarda kullanıldığına dair bir kanıt bulunmuyor. Cato, durumu aktif bir kampanya değil, araştırma olarak sunuyor. Açıklar 19 Şubat'ta bildirildi, ancak Cursor ilk etapta MCP sunucularının kötüye kullanımını tehdit modeli kapsamında değerlendirmedi. 26 Şubat'ta yeniden değerlendirme sonucu açıklar kabul edildi ve 3.0 sürümüyle yamalandı. Bu, Cursor'da prompt injection ile başlayıp kod çalıştırmayla sonuçlanan bir dizi güvenlik açığının en sonuncusu. Daha önce CurXecute, MCPoison ve CVE-2026-26268 gibi açıklar keşfedilmişti. Cato, benzer açıkları diğer kodlama ajanlarında da ifşa ettiğini ve sorunun yapısal olduğunu savunuyor.