alexi.sh
Todos los artículosSeguridad del navegadorPrivacidad de redHerramientas de privacidadModelado de amenazasProgramación con IAHerramientas de dev

alexi.shLaboratorio de IA

ai-coding

Fallos críticos de Cursor (DuneSlide): RCE zero-click por prompt injection, corregidos en la 3.0

PrivSec Lab4 min de lectura
Un editor de código en una pantalla oscura que muestra código fuente HTML con una barra de menú arriba

Cato AI Labs divulgó dos fallos críticos de Cursor apodados DuneSlide (CVE-2026-50548 y CVE-2026-50549, CVSS 9.8). Permiten ejecución remota de código zero-click mediante indirect prompt injection. Cómo funcionan y por qué ya están corregidos en Cursor 3.0.

Cato AI Labs ha divulgado dos fallos críticos en Cursor, el editor de código con IA. La pareja está apodada DuneSlide. Según Cato AI Labs, ambos llevan una puntuación CVSS crítica de 9.8. La buena noticia primero: ya están corregidos en Cursor 3.0. Para la visión más amplia sobre seguridad, ayudan nuestra guía ¿es seguro Cursor IA? y nuestro panorama seguridad de agentes de IA.

Qué encontró Cato AI Labs

Según Cato AI Labs, sus investigadores hallaron dos fallos en Cursor. Cato nombró a la pareja DuneSlide. Los fallos recibieron dos identificadores: CVE-2026-50548 y CVE-2026-50549. Ambos tienen una puntuación CVSS crítica de 9.8, la franja más alta. Cato AI Labs compartió los detalles el 1 de julio de 2026.

Cato también señala lo extendido que está Cursor. Según Cato AI Labs, más de la mitad del Fortune 500 lo usa. Así que un fallo aquí alcanza a muchos equipos.

Cómo funciona el ataque DuneSlide

Según Cato AI Labs, el ataque parte de una indirect prompt injection. La idea es simple. Escribes un prompt normal e inofensivo. El agente de IA lee entonces contenido externo para ayudarte. Ese contenido puede ser un resultado de búsqueda web o una respuesta de un servidor MCP. Si un atacante controla ese contenido, puede esconder órdenes dentro.

El agente lee esas órdenes ocultas. Las trata como tu petición. Según Cato AI Labs, esto permite al agente escapar de su sandbox. El sandbox es la caja segura que mantiene al agente lejos del resto de tu máquina. Una vez fuera, el agente puede ejecutar comandos en tu ordenador. Los equipos de seguridad lo llaman RCE, por remote code execution.

Un detalle importa. Según Cato AI Labs, el ataque es zero-click. No pulsas ningún enlace trampa. Solo lanzas un prompt normal que, por casualidad, absorbe el contenido envenenado.

Un robot humanoide blanco con ojos azules luminosos ante un fondo oscuro

Los dos fallos en términos claros

Según Cato AI Labs, cada CVE usa un truco distinto.

  • CVE-2026-50548: el prompt oculto le dice al agente que fije su working_directory fuera de la carpeta del proyecto. Eso le permite escribir en lugares sensibles, como el helper cursorsandbox. Escribir ahí apaga el sandbox.
  • CVE-2026-50549: el prompt oculto crea un symlink dentro del proyecto. Un symlink es un atajo que apunta a otro archivo. Aquí apunta a un archivo fuera del proyecto. Cursor ejecuta una comprobación para limpiar la ruta. Según Cato AI Labs, cuando esa comprobación falla, el agente recae en la ruta cruda del symlink, que nunca se valida.

Ambos trucos acaban igual. El agente deja su caja segura y actúa según los términos del atacante.

El punto clave: ya corregido en Cursor 3.0

Aquí está la parte que debería tranquilizarte. Según Cato AI Labs, ambos fallos afectan solo a las versiones anteriores a Cursor 3.0. Cursor 3.0 salió el 2 de abril de 2026. Ya corrige ambos. Así que la corrección llegó antes del informe público.

La acción es pequeña: actualiza Cursor a la 3.0 o más reciente. La mayoría ya está ahí. Según Cato AI Labs, no se han reportado ataques en el mundo real. Es un caso de «parchea y sigue», no una crisis. Si comparas herramientas, nuestra comparativa Cursor vs Claude Code y nuestra lista alternativas a Cursor 2026 pueden ayudar.

La cronología de la divulgación

Según Cato AI Labs, el reporte tuvo varias fases:

  • 19 de febrero: Cato reporta los fallos a Cursor.
  • 23 de febrero: Cursor rechaza al principio el reporte. Su modelo de amenazas no contaba el abuso de servidor MCP como un riesgo.
  • 26 de febrero: tras la insistencia de Cato, Cursor reabre el caso.
  • Cursor 3.0: la corrección llega en esa versión.

La lección es amplia. A medida que los agentes de IA leen más contenido externo, las capas MCP y web se vuelven parte de la superficie de ataque. Nuestra guía mejores asistentes de código con IA 2026 cubre cómo lo manejan las principales herramientas.

Qué deben hacer los desarrolladores

Hazlo simple. Abre Cursor y comprueba tu versión. Si es inferior a la 3.0, actualiza ya. Si es 3.0 o más reciente, ya tienes la corrección. Trata a los servidores MCP y las fuentes web como cualquier entrada: útiles, pero no siempre seguras. Cato AI Labs encontró los fallos, Cursor los corrigió, y a ti solo te toca mantenerte al día.

Foto: Pexels (source)

También disponible en

FAQ

¿Qué es DuneSlide?
Según Cato AI Labs, DuneSlide es el apodo de dos fallos críticos de Cursor, CVE-2026-50548 y CVE-2026-50549, ambos con puntuación CVSS 9.8. Cato los divulgó el 1 de julio de 2026. Ya están corregidos en Cursor 3.0.
¿Estoy en riesgo?
Solo si usas una versión de Cursor anterior a la 3.0. Según Cato AI Labs, Cursor 3.0 (publicada el 2 de abril de 2026) ya corrige ambos fallos. Actualiza a la 3.0 o más reciente y estarás cubierto. No se ha reportado explotación activa.
¿Cómo funciona el ataque?
Según Cato AI Labs, usa indirect prompt injection. El agente lee contenido no fiable, como un resultado de búsqueda web envenenado o una respuesta de un servidor MCP. Instrucciones ocultas empujan entonces al agente a escapar de su sandbox y ejecutar comandos. Es zero-click.
¿Qué debo hacer?
Actualiza Cursor a la versión 3.0 o más reciente. Según Cato AI Labs, la mayoría de los usuarios ya usan una versión corregida. Comprueba tu versión en la aplicación y actualiza si hace falta.