Vulnerabilidades críticas en Cursor permiten inyección de comandos
Publicado el
Resumen de las vulnerabilidades en Cursor
Recientemente se han identificado dos vulnerabilidades críticas en Cursor, un editor de código impulsado por inteligencia artificial. Estas fallas, que han sido catalogadas como CVE-2026-50548 y CVE-2026-50549, permiten que un simple prompt aparentemente inofensivo escape de la sandbox del editor y ejecute comandos de forma remota en el ordenador del desarrollador. Ambas vulnerabilidades han sido calificadas con una puntuación de 9.8 sobre 10 en la escala CVSS, lo que indica un riesgo elevado.
Detalles sobre las vulnerabilidades
Los investigadores de Cato AI Labs han llamado a estas vulnerabilidades DuneSlide. La naturaleza de estas fallas implica que no se requiere ningún clic o aprobación por parte del usuario para que el ataque tenga éxito, lo que las convierte en un riesgo significativo. La versión 3.0 de Cursor, lanzada el 2 de abril, ya incluye parches para estos problemas, mientras que todas las versiones anteriores son vulnerables.
Funcionamiento de la sandbox
Desde la línea 2.x, Cursor ejecuta los comandos terminales emitidos por su agente de IA dentro de una sandbox de manera predeterminada. Esta sandbox actúa como una caja de seguridad que limita a qué recursos pueden acceder esos comandos, evitando que una instrucción errónea cause daños en el sistema. Sin embargo, DuneSlide permite que un atacante escape de esta protección mediante inyecciones dentro de los prompts que el agente lee.
Métodos de ataque
Ambas vulnerabilidades utilizan tácticas similares para lograr la inyección de comandos. En el caso de CVE-2026-50548, el problema radica en un ajuste que permite que la sandbox acepte escrituras en una carpeta de trabajo que el agente puede establecer. Si un atacante inyecta instrucciones que redirigen esta carpeta a un archivo del sistema, puede sobreescribir la propia seguridad de la sandbox.
Por otro lado, CVE-2026-50549 se aprovecha de un chequeo de seguridad que verifica si los atajos (symlinks) apuntan a rutas dentro del proyecto. Si esta comprobación falla, Cursor confía erróneamente en el atajo proporcionado, permitiendo que el atacante escriba directamente a la sandbox.
Consecuencias del ataque
Una vez que la sandbox ha sido neutralizada, cualquier comando subsiguiente se ejecuta con los privilegios del desarrollador, lo que permite al atacante tomar control del sistema y cualquier espacio de trabajo en la nube o SaaS al que esté conectado el editor. Este tipo de ataque es especialmente peligroso, ya que se origina de un prompt que puede parecer inofensivo.
Respuesta de Cursor
Cato reportó estas vulnerabilidades el 19 de febrero, pero Cursor inicialmente rechazó la información, argumentando que su modelo de amenaza no contemplaba el abuso de servidores MCP. Sin embargo, tras una escalada, Cursor reabrió los informes y lanzó los parches correspondientes en la versión 3.0. Hasta el momento, no se ha registrado explotación activa de estas vulnerabilidades en el mundo real, aunque su descubrimiento pone de manifiesto la necesidad de una revisión más exhaustiva de los modelos de seguridad en herramientas de desarrollo.
Análisis y futuro
DuneSlide no es la primera vulnerabilidad que afecta a Cursor, ni probablemente será la última. Anteriormente, se han reportado otros problemas relacionados con la ejecución de código a partir de prompts manipulados. Cato ha advertido que este tipo de fallas podría ser un problema estructural en herramientas de codificación que interactúan con la web abierta, planteando interrogantes sobre cómo manejar cada entrada de manera segura.
Conclusión: La situación actual resalta la importancia de mantener actualizadas las herramientas de desarrollo y de adoptar un enfoque proactivo en la gestión de la seguridad, especialmente en entornos donde la confianza en la entrada del usuario puede ser explotada.