Ausbruch aus der Sandbox

Schwachstellen in Cursor öffneten Tür zum Betriebssystem

Cursor AI
Bildquelle: aileenchik/Shutterstock.com

Sicherheitsforscher haben in der KI-Entwicklungsumgebung Cursor zwei kritische Schwachstellen gefunden. Über präparierte Prompts lässt sich die Sandbox der Anwendung umgehen und Code auf dem Host-System ausführen, ganz ohne Zutun des Nutzers.

Das Sicherheitsunternehmen Cato Networks hat die beiden Schwachstellen unter dem Namen DuneSlide veröffentlicht. Sie sind als CVE-2026-50548 und CVE-2026-50549 registriert und erreichen mit einem CVSS-Wert von 9,8 die höchste Risikostufe. Beide Fehler erlauben es, aus der isolierten Umgebung von Cursor auszubrechen und Befehle direkt auf dem zugrunde liegenden Betriebssystem auszuführen.

Anzeige

Problem liegt in automatischen Terminalbefehlen

Auslöser ist eine Funktion von Cursor, die Terminalbefehle innerhalb der Sandbox selbstständig ausführt, ohne dass der Nutzer diese vorher bestätigen muss. Gelangt ein manipulierter Inhalt in die IDE, etwa über einen externen MCP-Server, kann dieser das zugrunde liegende Sprachmodell zu ungewollten Aktionen bewegen. Ein aktives Zutun der betroffenen Person ist dafür nicht nötig, wodurch sich die Angriffe automatisiert auslösen lassen.

Erste Schwachstelle: Ausbruch aus dem Arbeitsverzeichnis

Normalerweise ist die Befehlsausführung strikt auf das aktuelle Projektverzeichnis begrenzt. Cato zufolge lässt sich diese Grenze jedoch aushebeln, indem der Parameter für das Arbeitsverzeichnis auf einen selbst gewählten Wert gesetzt wird. Dieser wird dann ungeprüft in eine interne Freigabeliste übernommen.

Eine unauffällige Anfrage an einen MCP-Server kann so genutzt werden, um dem KI-Modell verdeckt die Anweisung unterzujubeln, das Arbeitsverzeichnis auf einen fremden, vom Angreifer festgelegten Ort zu ändern. Ist dies gelungen, kann die zentrale Steuerungsdatei der Sandbox namens cursorsandbox überschrieben werden. Ab diesem Punkt laufen alle weiteren Befehle vollständig ohne Einschränkung durch die Sandbox.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Zweite Schwachstelle: Trick mit symbolischen Links

Die zweite Lücke steht laut Cato in keinem Zusammenhang mit der ersten und betrifft die Art, wie Cursor Dateipfade auflöst. Über einen manipulierten Prompt lässt sich der Agent dazu bringen, innerhalb des Projektordners einen symbolischen Link zu erzeugen, der auf eine Datei außerhalb dieses Bereichs zeigt.

Beim Versuch, diesen Link zu überprüfen, macht Cursor einen Fehler in der Pfadauflösung: Statt das tatsächliche Ziel zu erkennen, arbeitet das Programm weiterhin mit dem ursprünglichen Pfad des Links. Dadurch greift die eingebaute Prüfung nicht, die eigentlich verhindern soll, dass Dateien außerhalb des Projektverzeichnisses beschrieben werden. Auch auf diesem Weg lässt sich am Ende erneut die Datei cursorsandbox manipulieren.

Update seit April erhältlich

Cato Networks informierte die Entwickler von Cursor bereits im Februar über die beiden Probleme. Mit Version 3.0, die Anfang April erschien, wurden entsprechende Korrekturen ausgeliefert. Die offiziellen CVE-Nummern folgten erst deutlich später, Anfang Juni.

Wer Cursor einsetzt, sollte prüfen, ob mindestens Version 3.0 installiert ist, um vor den beschriebenen Angriffswegen geschützt zu sein.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.