CVE-2026-50548 e CVE-2026-50549, entrambe con CVSS 9.8, consentono un'iniezione di prompt zero-click che sfugge alla sandbox di Cursor IDE ed esegue codice arbitrario a livello di sistema operativo. Entrambe le vulnerabilità sono state risolte in Cursor 3.0 (rilasciato il 2 aprile 2026). Una variante separata priva di patch, divulgata da Mindgard il 14 luglio 2026, rimane attiva in tutte le versioni correnti di Cursor su Windows.
Per chi vuole approfondire, Grace Certified offre linee guida per un uso responsabile dell'AI.
Cursor IDE occupa una posizione centrale nello stack di sviluppo AI enterprise, con oltre 50.000 aziende come utenti, tra cui più della metà delle Fortune 500. La sua architettura agentiva—in cui il modello linguistico emette chiamate agli strumenti che scrivono file, eseguono comandi shell e interrogano servizi esterni—espande la superficie di attacco ben oltre ciò che le sandbox tradizionali degli IDE erano progettate per contenere. DuneSlide, il nome assegnato da Cato AI Labs alle due CVE, documenta uno spostamento strutturale: l'autonomia del modello linguistico è oggi un vettore di ingresso primario per la compromissione dell'host, che arriva attraverso gli stessi canali fidati che gli sviluppatori usano per la produttività quotidiana.
Come CVE-2026-50548 e CVE-2026-50549 sfuggono alla sandbox
Il ricercatore Itay Ravia di Cato AI Labs ha identificato entrambe le vulnerabilità nel layer di sandboxing di Cursor 2.x. CVE-2026-50548 sfrutta il parametro working_directory passato agli strumenti sandbox di Cursor. Il parametro predefinito punta alla root del progetto; contenuti controllati dall'attaccante—consegnati tramite integrazioni MCP (Cato documenta l'integrazione Linear.app come canale di iniezione confermato) o tramite risultati di ricerca web recuperati autonomamente dall'agente—possono reindirizzarlo verso percorsi arbitrari del filesystem. I target documentati includono /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox, ~/.zshrc, ~/.zshenv e ~/Library/LaunchAgents. La scrittura del binario cursorsandbox è il primitivo di massimo impatto: trasforma il confine di applicazione in codice controllato dall'attaccante.
CVE-2026-50549 sfrutta un fallback nella canonicalizzazione dei symlink. Quando la risoluzione canonica del percorso fallisce a causa di percorsi mancanti o errori di autorizzazione, il runtime torna al valore grezzo del symlink. Un symlink fornito dall'attaccante che punta al di fuori della directory del progetto aggira tutte le protezioni di percorso. La catena exploit completa richiede zero interazioni utente: il contenuto iniettato arriva tramite una risposta MCP apparentemente attendibile o un risultato di ricerca avvelenato, i parametri sandbox vengono manipolati, il binario cursorsandbox viene sovrascritto, e ogni successivo comando agentivo viene eseguito con accesso completo a livello OS. Le sessioni compromesse si estendono ai workspace SaaS connessi, poiché le integrazioni di Cursor per GitHub, Linear e Jira operano con lo stesso token di processo. Cato ha divulgato la vulnerabilità working directory il 19 febbraio 2026; Cursor ha confermato la correzione per Cursor 3.0 il 1° aprile. La correzione symlink è arrivata entro il 1° giugno. Gli ID CVE sono stati assegnati il 5 giugno 2026.
La divulgazione Mindgard: un vettore privo di patch in Cursor 3.x su Windows
Il 14 luglio 2026, la società di sicurezza offensiva Mindgard ha pubblicato un report separato di full disclosure per una vulnerabilità con zero assegnazioni CVE e zero remediation da parte del vendor. Su Windows, la logica di risoluzione dei percorsi di Cursor cerca binari Git nelle directory workspace, compresa la root del repository. Un file git.exe presente in quella posizione viene eseguito automaticamente e ripetutamente durante una normale sessione di sviluppo—con zero prompt utente e zero avvisi. Mindgard ha segnalato il problema per la prima volta a Cursor il 15 dicembre 2025, seguito da una submission HackerOne a gennaio 2026 e da molteplici escalation fino ad aprile 2026. Cursor ha declinato di accettare la segnalazione e ha fornito zero roadmap di remediation nell'arco di sette mesi di engagement. Mindgard ha verificato la vulnerabilità su Cursor 3.2.16 il 30 aprile 2026—attraverso 197-più versioni rilasciate dalla scoperta iniziale. L'attacco richiede un file git.exe malevolo posizionato alla root del repository, raggiungibile tramite compromissione della supply chain, repository poisoning o social engineering. Dal momento in cui uno sviluppatore apre il progetto interessato in Cursor su Windows, l'esecuzione è automatica e si ripete per tutta la durata della sessione.
Il problema architetturale comune a entrambe le divulgazioni
DuneSlide e la vulnerabilità git.exe di Mindgard evidenziano la stessa lacuna strutturale: gli IDE AI-native ereditano la superficie delle chiamate agli strumenti del modello come superficie di attacco. Il sandboxing tradizionale degli IDE presuppone che la minaccia arrivi come codice scelto dallo sviluppatore. Gli IDE agentivi scardinano questa assunzione—il modello esegue gli strumenti in autonomia, e le istruzioni iniettate nelle risposte MCP o nei contenuti recuperati diventano primitive di esecuzione del codice, aggirando qualsiasi gate di approvazione dello sviluppatore. Il binario cursorsandbox è il confine di applicazione per le operazioni agentive di Cursor; CVE-2026-50548 e CVE-2026-50549 consentono di sovrascriverlo, dopodiché ogni azione agentiva viene eseguita al di fuori della sandbox. La variante git.exe richiede una sofisticazione tecnica inferiore con portata maggiore: l'accesso in scrittura alla root di un repository è il requisito di ingresso completo. I deployment enterprise con integrazioni MCP attive per GitHub, Linear e Jira affrontano un impatto post-compromissione amplificato—l'accesso ai workspace SaaS condivide lo stesso token di sessione del processo IDE compromesso. Il pattern architetturale—il modello LLM emette chiamate agli strumenti, la sandbox applica i confini—è condiviso da GitHub Copilot Workspace, Windsurf e altri agenti che operano negli ambienti di sviluppo. Un unico fallback nella logica di validazione dei percorsi è sufficiente a far collassare il confine.
Tre azioni concrete per i technology leader
Le decisioni sono sequenziali. Prima: imporre Cursor 3.0 o versione successiva su tutte le workstation degli sviluppatori—Cursor 2.x lascia entrambe le CVE DuneSlide completamente esposte a livello applicativo con zero mitigazioni disponibili nell'app. Seconda: sui fleet Windows, distribuire policy AppLocker o Windows Defender Application Control che blocchino l'invocazione di eseguibili dalle directory workspace; una regola di percorso che copra %USERPROFILE%\source\repos\*\*.exe gestisce il vettore Mindgard in attesa di una patch da Cursor. Terza: verificare le integrazioni MCP server attualmente autorizzate negli ambienti degli sviluppatori—la catena di attacco DuneSlide entra tramite risposte MCP, con Linear.app confermato come vettore di iniezione. I server MCP con autorizzazioni di lettura del progetto rappresentano la superficie di revisione prioritaria. I team che eseguono Cursor nelle pipeline CI/CD affrontano la stessa esposizione: le fasi pipeline agentive che accettano risposte da strumenti esterni condividono questo modello di attacco e richiedono gli stessi controlli di policy.
Articolo di LEON — AI Agents & Systems
LEON copre il layer tecnico dove gli agenti AI vengono costruiti e distribuiti. Fonti: codice, documentazione, CVE.