Cato AI Labs ha divulgato il 1 luglio 2026 due vulnerabilità critiche in Cursor, l'AI coding agent utilizzato da oltre metà delle Fortune 500. Le falle permettono a un attacco di prompt injection di evadere la sandbox ed eseguire comandi arbitrari sulla macchina dello sviluppatore. Identificate come CVE-2026-50548 e CVE-2026-50549, entrambe con CVSS 9.8, non richiedono interazione da parte della vittima. Secondo Cato, Cursor aveva inizialmente rifiutato la segnalazione, modificando posizione dopo escalation del 26 febbraio.
- Due vulnerabilità, denominate DuneSlide, colpiscono tutte le versioni di Cursor precedenti alla 3.0 rilasciata il 2 aprile 2026
- CVE-2026-50549 sfrutta un fallimento di canonicalization con fallback su symlink, classificata CWE-59 nel record NVD
- CVE-2026-50548 abusa del parametro working_directory in run_terminal_cmd per aggiungere path arbitrari alla allow-list
- Secondo Cato, Cursor ha rifiutato la prima segnalazione il 23 febbraio 2026, citando un modello di minaccia che escludeva l'abuso di MCP server
Come funziona l'attacco: due bug, un solo obiettivo
Il meccanismo di DuneSlide si articola in due fasi tecniche distinte che convergono sul medesimo risultato: la sovrascrittura del helper cursorsandbox e la disabilitazione della protezione sandbox, seguita da esecuzione di comandi con privilegi utente.
La prima vulnerabilità, CVE-2026-50548, sfrutta la gestione del parametro working_directory nella funzione run_terminal_cmd. Quando l'agente imposta un path non standard, Cursor aggiunge quel path alla lista di scrittura autorizzata senza ulteriori controlli. La sandbox, progettata per limitare le operazioni a una directory di lavoro definita, viene così estesa arbitrariamente dall'attaccante tramite un prompt apparentemente benigno.
La seconda, CVE-2026-50549, documentata nel record NVD con identificativo CVE-2026-50549 e classificazione CWE-59, sfrutta un difetto di canonicalizzazione dei path. Secondo la descrizione ufficiale del National Vulnerability Database, "quando la canonicalizzazione fallisce, il sistema ricade sul path originale e scrive senza approvazione". L'attaccante crea un symlink all'interno del workspace che punta al di fuori di esso, forzando il fallimento del controllo e ottenendo scrittura in posizioni arbitrarie.
Entrambe le tecniche permettono di sovrascrivere il binario helper della sandbox. Una volta compromesso, l'helper esegue comandi al di fuori dell'ambiente isolato, con i privilegi dell'utente legittimo.
Zero-click, zero warning: l'inganno del prompt "benigno"
La gravità dell'attacco risiede nell'assenza di segnali d'allarme per la vittima. Non è richiesto alcun clic su link malevolo, né la conferma di finestre di dialogo di approvazione.
"There is no click to fall for and no approval box to ignore" — Cato AI Labs, riportato da The Hacker News
La sola interazione necessaria è l'inserimento di un prompt che l'utente percepisce come legittimo, all'interno del flusso di lavoro ordinario con l'AI agent. Secondo la documentazione della divulgazione, questo profilo elimina il tradizionale anello debole della catena di sicurezza: la fallibilità umana nel riconoscere tentativi di ingegneria sociale.
La governance del rifiuto: febbraio, aprile e il modello di minaccia
Secondo la timeline della responsabile divulgazione, Cato AI Labs ha inviato la prima segnalazione il 19 febbraio 2026. Cursor ha risposto il 23 febbraio con un rifiuto motivato: il proprio modello di minaccia non includeva l'abuso di MCP server — i protocolli di connessione tra l'AI agent e servizi esterni — come vettore rilevante.
Il caso è stato riaperto dopo escalation del 26 febbraio. Il fix è stato incluso in Cursor 3.0, rilasciato il 2 aprile 2026, precedente alla pubblicazione della divulgazione. Secondo la timeline Cato/THN, le CVE sono state assegnate il 5 giugno 2026, con pubblicazione finale il 1 luglio 2026.
Il rifiuto iniziale non è isolato nel contesto di Cursor. Il dossier documenta una serie di vulnerabilità precedenti con lo stesso pattern: CVE-2025-54135 (CurXecute, CVSS 8.5), CVE-2025-54136 (MCPoison, CVSS 7.2) e CVE-2026-26268 (Git hook RCE). Ognuna ha dimostrato che l'interazione tra prompt injection, sandbox e componenti di sistema può produrre esecuzione remota di codice.
Cosa fare adesso
- Aggiornare immediatamente a Cursor 3.0 o versioni successive, rilasciate il 2 aprile 2026, che includono il fix per entrambe le vulnerabilità
- Verificare che le workstation degli sviluppatori che utilizzano Cursor non eseguano versioni precedenti alla 3.0
Limiti della presente analisi
La presente analisi si basa principalmente sulla divulgazione di Cato AI Labs via The Hacker News, con conferma NVD per CVE-2026-50549. Dettagli su CVE-2026-50548 non sono indipendentemente verificati su NVD. Non sono disponibili indicazioni di sfruttamento in-the-wild al momento della pubblicazione.
La timeline in numeri
L'intervallo tra la segnalazione iniziale del 19 febbraio 2026 e il rilascio del fix il 2 aprile 2026 misura circa sei settimane. L'intervallo tra il rilascio del fix e la pubblicazione della divulgazione il 1 luglio 2026 misura circa tre mesi. Nessun dato nel brief consente di qualificare il timing del fix come tardivo o tempestivo rispetto alla scoperta.
Secondo gli analisti, la sequenza di eventi mostra come la classificazione del rischio da parte del vendor possa influenzare la prioritizzazione della risposta. La modifica della posizione di Cursor dopo l'escalation del 26 febbraio suggerisce, nelle parole di Cato, che il modello di minaccia iniziale non aveva previsto il vettore MCP server come rilevante per la sicurezza della sandbox.
Il caso DuneSlide conferma un pattern ricorrente nelle vulnerabilità di Cursor: la sovrapposizione tra funzionalità dell'AI agent e controlli di sicurezza del sistema operativo crea superfici di attacco dove il prompt injection diventa equivalente a esecuzione di codice. La presenza di più della metà delle Fortune 500 nella base utenti, secondo dichiarazione di Cursor, amplifica la superficie di impatto potenziale.
Fonti: The Hacker News (divulgazione primaria Cato AI Labs); NVD – CVE-2026-50549 (record ufficiale con CVSS, CWE-59, CPE).
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/07/critical-cursor-flaws-could-let-prompt.html
- https://www.bleepingcomputer.com/news/security/new-bioshocking-attack-manipulates-ai-browser-into-data-theft/
- https://nvd.nist.gov/vuln/detail/CVE-2026-50549
- https://www.mintmcp.com/blog/cursor-security
- https://www.penligent.ai/hackinglabs/claude-mythos-and-cyber-security-what-the-leak-actually-tells-defenders/
- https://www.csoonline.com/article/4164250/critical-cursor-bug-could-turn-routine-git-into-rce.html
- https://www.microsoft.com/en-us/security/blog/2026/05/07/prompts-become-shells-rce-vulnerabilities-ai-agent-frameworks/
- https://cyberscoop.com/google-antigravity-pillar-security-agent-sandbox-escape-remote-code-execution/
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments