To sårbarheter, begge scoret 9.8 av 10 på CVSS, lot en enkelt og tilsynelatende harmløs melding ta over en utviklers maskin. Sikkerhetsselskapet Cato AI Labs kaller paret DuneSlide og sporer dem som CVE-2026-50548 og CVE-2026-50549. Begge er rettet i Cursor 3.0, som kom 2. april, og alle eldre versjoner er sårbare.
Fra 2.x-serien kjører Cursor terminalkommandoene KI-agenten utsteder inne i en sandkasse: en innelåst boks som begrenser hva kommandoene får røre. DuneSlide handler om å komme seg ut av boksen. Angrepsvektoren er prompt injection: angriperen skriver aldri i din Cursor, men planter instruksjoner i noe agenten leser på dine vegne, som en tilkoblet MCP-tjeneste eller en nettside fra et søk. Du stiller et vanlig spørsmål, de skjulte instruksjonene blir med på lasset, og fordi angrepet verken krever klikk eller godkjenning fra deg, er det «zero-click».
Begge feilene bruker samme triks: få agenten til å skrive én fil den ikke skulle få skrive, og bruk skrivingen til å slå av sandkassen. CVE-2026-50548 misbruker parameteren working_directory på run_terminal_cmd-verktøyet, slik at Cursor legger en systemfil til skrivelisten uten spørsmål. CVE-2026-50549 misbruker symlink-sjekken: når kontrollen feiler, stoler Cursor på snarveiens prosjektinterne sti i stedet. Begge ender med å overskrive selve sandkasse-hjelperen, og neste kommando kjører helt uten sandkasse.
«Problemet er strukturelt, ikke en rekke enkeltstående feil» — Cato AI Labs, som sier de avdekker liknende hull i andre kode-agenter
At Cursor tok tid på å reagere er en del av historien. Cato meldte fra 19. februar; fire dager senere avviste Cursor rapportene med at trusselmodellen ikke dekket misbruk av MCP-servere, selv standardtjenester som den offisielle Linear-integrasjonen. Etter en ny henvendelse 26. februar gjenåpnet Cursor sakene og rettet begge i 3.0. CVE-numrene ble tildelt 5. juni.
DuneSlide er den siste i en rekke Cursor-feil som starter med en forgiftet prompt og ender i kjøring av kode. CurXecute (CVE-2025-54135, august 2025) skrev om Cursors mcp.json via en plantet Slack-melding. MCPoison (CVE-2025-54136) lot en angriper få en MCP-konfig godkjent én gang og siden bytte inn ondsinnede kommandoer. Sandkassen i 2.x var Cursors svar på den bølgen. DuneSlide handler om å rømme svaret.
Når sandkassen er nøytralisert, kjører neste kommando som deg, med tilgang til maskinen og alle sky- og SaaS-arbeidsområder editoren er logget inn på. Det finnes ingen tegn på at hullene er utnyttet i praksis; Cato presenterer det som forskning. Poenget for deg som bygger med agenter er likevel skarpt: en sandkasse som kan skrives rundt, er ingen reell sandkasse.
Hva bør du gjøre?
- Oppdater Cursor til 3.0 eller nyere nå. Alt før 3.0 er sårbart, og over halvparten av Fortune 500 bruker verktøyet.
- Behandle MCP-servere og nettinnhold agenten leser som utrustet input, også «offisielle» kilder. Begrens hvilke MCP-tjenester agenten faktisk har tilgang til.
- Ikke stol på sandkasse alene: kjør kode-agenter i en isolert konto eller container uten tilgang til produksjonsnøkler og aktive sky-sesjoner.