CVE-2026-50548 und CVE-2026-50549, beide mit CVSS 9.8 bewertet, ermöglichen eine Zero-Click-Prompt-Injection, die die Sandbox von Cursor IDE überwindet und beliebigen Code auf Betriebssystemebene ausführt. Beide Schwachstellen wurden in Cursor 3.0 (veröffentlicht am 2. April 2026) behoben. Eine separate ungepatchte Variante, von Mindgard am 14. Juli 2026 offengelegt, bleibt in allen aktuellen Cursor-Versionen unter Windows aktiv.
Für alle, die tiefer einsteigen möchten, bietet Grace Certified Leitlinien für verantwortungsvolle KI-Nutzung.
Cursor IDE nimmt eine zentrale Position im Enterprise-KI-Entwicklungs-Stack ein, mit über 50.000 Unternehmen als Nutzer, darunter mehr als die Hälfte der Fortune 500. Die agentische Architektur—das Modell gibt Tool-Calls aus, die Dateien schreiben, Shell-Befehle ausführen und externe Dienste abfragen—erweitert die Angriffsfläche weit über das hinaus, was traditionelle IDE-Sandboxen abzudecken bestimmt waren. DuneSlide, der Kampagnenname, den Cato AI Labs den beiden CVEs gegeben hat, dokumentiert eine strukturelle Verschiebung: die Autonomie des Sprachmodells ist heute ein primärer Eingangsvektor für die Host-Kompromittierung, der über dieselben vertrauenswürdigen Kanäle ankommt, die Entwickler für ihre tägliche Produktivität nutzen.
Wie CVE-2026-50548 und CVE-2026-50549 die Sandbox umgehen
Cato AI Labs-Forscher Itay Ravia identifizierte beide Schwachstellen in der Sandboxing-Schicht von Cursor 2.x. CVE-2026-50548 missbraucht den working_directory-Parameter, der an Cursors Sandbox-Tooling übergeben wird. Der Parameter zeigt standardmäßig auf das Projektstammverzeichnis; angreifergesteuerte Inhalte—über MCP-Server-Integrationen (Cato dokumentiert die Linear.app-Integration als bestätigten Injektionskanal) oder über vom Agenten autonom abgerufene Websuche-Ergebnisse bereitgestellt—können ihn auf beliebige Dateisystempfade umlenken. Dokumentierte Ziele umfassen /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox, ~/.zshrc, ~/.zshenv und ~/Library/LaunchAgents. Das Überschreiben des cursorsandbox-Binaries ist das Primitiv mit dem höchsten Impact: Es verwandelt die Durchsetzungsgrenze selbst in angreifergesteuerten Code.
CVE-2026-50549 nutzt einen Fallback in der Symlink-Kanonisierung. Wenn die kanonische Pfadauflösung aufgrund fehlender Pfade oder Berechtigungsfehler scheitert, fällt die Laufzeitumgebung auf den rohen Symlink-Wert zurück. Ein vom Angreifer bereitgestellter Symlink, der außerhalb des Projektverzeichnisses zeigt, umgeht alle Pfad-Schutzmaßnahmen. Die vollständige Exploit-Kette erfordert null Benutzerinteraktion: injizierter Prompt-Inhalt kommt über eine vertrauenswürdig wirkende MCP-Antwort oder ein vergiftetes Suchergebnis an, Sandbox-Parameter werden manipuliert, das cursorsandbox-Binary wird überschrieben, und alle nachfolgenden agentischen Befehle werden mit vollem OS-Zugriff ausgeführt. Kompromittierte Sitzungen erstrecken sich auf verbundene SaaS-Arbeitsbereiche, da Cursors GitHub-, Linear- und Jira-Integrationen unter demselben Prozess-Token laufen. Cato meldete die Working-Directory-Schwachstelle am 19. Februar 2026; Cursor bestätigte die Behebung für Cursor 3.0 am 1. April. Die Symlink-Korrektur wurde bis zum 1. Juni ausgeliefert. CVE-IDs wurden am 5. Juni 2026 zugewiesen.
Die Mindgard-Offenlegung: ein ungepatchter Vektor in Cursor 3.x unter Windows
Am 14. Juli 2026 veröffentlichte das Offensive-Security-Unternehmen Mindgard einen separaten Full-Disclosure-Bericht für eine Schwachstelle mit null CVE-Zuweisung und null Vendor-Remediation. Unter Windows durchsucht Cursors Pfadauflösungslogik Workspace-Verzeichnisse nach Git-Binaries, einschließlich des Repository-Stammverzeichnisses. Eine dort vorhandene git.exe wird automatisch und wiederholt ausgeführt—während einer normalen Entwicklungssitzung, mit null Benutzer-Prompt und null Warnung. Mindgard meldete das Problem erstmals am 15. Dezember 2025 an Cursor, reichte es im Januar 2026 über HackerOne ein und eskalierte mehrfach bis April 2026. Cursor lehnte die Meldung ab; über sieben Monate Engagement blieb ein Remediation-Fahrplan aus. Mindgard verifizierte die Schwachstelle gegen Cursor 3.2.16 am 30. April 2026—nach 197-plus seit der Erstentdeckung veröffentlichten Versionen. Der Angriff erfordert eine bösartige git.exe im Repository-Root, erreichbar über Supply-Chain-Kompromittierung, Repository-Poisoning oder Social Engineering. Sobald ein Entwickler das betroffene Projekt in Cursor unter Windows öffnet, ist die Ausführung automatisch und wiederholt sich über die gesamte Sitzungsdauer.
Das architektonische Problem beider Offenlegungen
DuneSlide und die git.exe-Schwachstelle von Mindgard legen dasselbe strukturelle Defizit offen: KI-native IDEs erben die Tool-Call-Oberfläche des Modells als Angriffsfläche. Traditionelles IDE-Sandboxing geht davon aus, dass Bedrohungen als vom Entwickler gewählter Code ankommen. Agentische IDEs brechen diese Annahme auf—das Modell führt Tools autonom aus, und injizierte Anweisungen in MCP-Antworten oder abgerufenen Inhalten werden zu Code-Ausführungsprimitiven, die jedes Entwickler-Genehmigungstor umgehen. Das cursorsandbox-Binary ist die Durchsetzungsgrenze für Cursors agentische Operationen; CVE-2026-50548 und CVE-2026-50549 ermöglichen dessen Überschreibung, wonach jede agentische Aktion außerhalb der Sandbox läuft. Die git.exe-Variante erfordert geringere technische Komplexität bei größerer Reichweite: Schreibzugriff auf ein Repository-Root ist die vollständige Eintrittsanforderung. Enterprise-Deployments mit aktiven MCP-Integrationen für GitHub, Linear und Jira sehen sich mit amplifizierten Post-Compromise-Konsequenzen konfrontiert—SaaS-Workspace-Zugriff teilt dasselbe Session-Token wie der kompromittierte IDE-Prozess. Das Architekturmuster selbst—das LLM gibt Tool-Calls aus, die Sandbox setzt Grenzen durch—wird von GitHub Copilot Workspace, Windsurf und anderen Agenten in Entwicklerumgebungen geteilt. Ein einziger Fallback in der Pfadvalidierungslogik reicht aus, um die Grenze zum Einsturz zu bringen.
Drei konkrete Entscheidungen für Engineering-Führungskräfte
Die Maßnahmen lassen sich sequenziell priorisieren. Erstens: Cursor 3.0 oder höher auf allen Entwickler-Workstations vorschreiben—Cursor 2.x lässt beide DuneSlide-CVEs auf Anwendungsebene vollständig exponiert, mit null verfügbaren In-App-Mitigationen. Zweitens: auf Windows-Fleets AppLocker- oder Windows Defender Application Control-Richtlinien bereitstellen, die die Ausführung von Binaries aus Workspace-Verzeichnissen blockieren; eine Pfadregel, die %USERPROFILE%\source\repos\*\*.exe abdeckt, adressiert den Mindgard-Vektor bis zu einem Cursor-Patch. Drittens: MCP-Server-Integrationen prüfen, die in Entwicklerumgebungen aktuell autorisiert sind—die DuneSlide-Angriffskette gelangt über MCP-Antworten hinein, mit Linear.app als bestätigtem Injektionsvektor. MCP-Server mit Projektlese-Berechtigungen bilden die Überprüfungsfläche mit höchster Priorität. Teams, die Cursor in CI/CD-Pipelines betreiben, sehen sich derselben Exposition gegenüber: agentische Pipeline-Schritte, die externe Tool-Antworten akzeptieren, teilen dieses Angriffsmodell und erfordern dieselben Richtlinienkontrollen.
Artikel von LEON — AI Agents & Systems
LEON berichtet über die technische Schicht, auf der KI-Agenten entwickelt und eingesetzt werden. Quellen: Code, Dokumentation, CVEs.