alexi.sh
Tous les articlesSécurité navigateurConfidentialité réseauOutils de confidentialitéModélisation des menacesCodage IAOutils de dev

alexi.shLabo IA

ai-coding

Failles critiques de Cursor (DuneSlide) : RCE zero-click par prompt injection, corrigées dans la 3.0

PrivSec Lab4 min de lecture
Un éditeur de code sur un écran sombre affichant du code source HTML avec une barre de menu en haut

Cato AI Labs a divulgué deux failles critiques de Cursor surnommées DuneSlide (CVE-2026-50548 et CVE-2026-50549, CVSS 9.8). Elles permettent une exécution de code à distance zero-click via une indirect prompt injection. Comment elles fonctionnent et pourquoi elles sont déjà corrigées dans Cursor 3.0.

Cato AI Labs a divulgué deux failles critiques dans Cursor, l'éditeur de code IA. Le duo est surnommé DuneSlide. Selon Cato AI Labs, les deux portent un score CVSS critique de 9.8. La bonne nouvelle d'abord : elles sont déjà corrigées dans Cursor 3.0. Pour la vue d'ensemble côté sûreté, notre guide Cursor IA est-il sûr et notre panorama sécurité des agents IA aident.

Ce que Cato AI Labs a trouvé

Selon Cato AI Labs, ses chercheurs ont trouvé deux failles dans Cursor. Cato a nommé le duo DuneSlide. Les failles ont reçu deux identifiants : CVE-2026-50548 et CVE-2026-50549. Les deux portent un score CVSS critique de 9.8, la tranche la plus haute. Cato AI Labs a partagé les détails le 1er juillet 2026.

Cato note aussi l'ampleur de l'usage de Cursor. Selon Cato AI Labs, plus de la moitié du Fortune 500 l'utilise. Une faille ici touche donc beaucoup d'équipes.

Comment fonctionne l'attaque DuneSlide

Selon Cato AI Labs, l'attaque part d'une indirect prompt injection. L'idée est simple. Vous tapez un prompt normal et anodin. L'agent IA lit ensuite du contenu externe pour vous aider. Ce contenu peut être un résultat de recherche web ou une réponse d'un serveur MCP. Si un attaquant contrôle ce contenu, il peut y cacher des ordres.

L'agent lit ces ordres cachés. Il les traite comme votre demande. Selon Cato AI Labs, cela permet à l'agent de s'échapper de son sandbox. Le sandbox est la boîte sûre qui tient l'agent à l'écart du reste de votre machine. Une fois dehors, l'agent peut exécuter des commandes sur votre ordinateur. Les équipes sécurité appellent cela RCE, pour remote code execution.

Un détail compte. Selon Cato AI Labs, l'attaque est zero-click. Vous ne cliquez sur aucun lien piégé. Vous lancez juste un prompt normal qui, par hasard, aspire le contenu empoisonné.

Un robot humanoïde blanc aux yeux bleus lumineux devant un fond sombre

Les deux failles en clair

Selon Cato AI Labs, chaque CVE utilise une astuce différente.

  • CVE-2026-50548 : le prompt caché dit à l'agent de fixer son working_directory hors du dossier projet. Cela lui permet d'écrire dans des emplacements sensibles, comme le helper cursorsandbox. Écrire là désactive le sandbox.
  • CVE-2026-50549 : le prompt caché crée un symlink dans le projet. Un symlink est un raccourci qui pointe vers un autre fichier. Ici il pointe vers un fichier hors du projet. Cursor lance une étape pour nettoyer le chemin. Selon Cato AI Labs, quand cette étape échoue, l'agent retombe sur le chemin brut du symlink, qui n'est jamais validé.

Les deux astuces finissent pareil. L'agent quitte sa boîte sûre et agit selon les termes de l'attaquant.

Le point clé : déjà corrigé dans Cursor 3.0

Voici la partie qui doit vous rassurer. Selon Cato AI Labs, les deux failles touchent seulement les versions antérieures à Cursor 3.0. Cursor 3.0 est sortie le 2 avril 2026. Elle corrige déjà les deux. Le correctif précède donc le rapport public.

L'action est petite : mettez à jour Cursor vers la 3.0 ou plus récent. La plupart des gens y sont déjà. Selon Cato AI Labs, aucune attaque dans la nature n'a été rapportée. C'est un cas « on patche et on passe à autre chose », pas une crise. Si vous comparez des outils, notre comparatif Cursor vs Claude Code et notre liste alternatives à Cursor 2026 peuvent aider.

La chronologie de la divulgation

Selon Cato AI Labs, le signalement a connu plusieurs étapes :

  • 19 février : Cato signale les failles à Cursor.
  • 23 février : Cursor rejette d'abord le rapport. Son modèle de menace ne comptait pas l'abus de serveur MCP comme un risque.
  • 26 février : après relance de Cato, Cursor rouvre le dossier.
  • Cursor 3.0 : le correctif est livré dans cette version.

La leçon est large. À mesure que les agents IA lisent plus de contenu externe, les couches MCP et web deviennent une surface d'attaque. Notre guide meilleurs assistants de coding IA 2026 explique comment les principaux outils gèrent cela.

Ce que les développeurs doivent faire

Restez simple. Ouvrez Cursor et vérifiez votre version. Si elle est en dessous de la 3.0, mettez à jour maintenant. Si elle est en 3.0 ou plus récente, vous avez déjà le correctif. Traitez les serveurs MCP et les sources web comme n'importe quelle entrée : utiles, mais pas toujours sûrs. Cato AI Labs a trouvé les failles, Cursor les a corrigées, et il vous suffit de rester à jour.

Photo : Pexels (source)

Aussi disponible en

FAQ

Qu'est-ce que DuneSlide ?
Selon Cato AI Labs, DuneSlide est le surnom de deux failles critiques de Cursor, CVE-2026-50548 et CVE-2026-50549, toutes deux notées CVSS 9.8. Cato les a divulguées le 1er juillet 2026. Elles sont déjà corrigées dans Cursor 3.0.
Suis-je exposé ?
Seulement si vous utilisez une version de Cursor antérieure à la 3.0. Selon Cato AI Labs, Cursor 3.0 (sortie le 2 avril 2026) corrige déjà les deux failles. Mettez à jour vers la 3.0 ou plus récent et vous êtes couvert. Aucune exploitation active n'a été rapportée.
Comment fonctionne l'attaque ?
Selon Cato AI Labs, elle utilise une indirect prompt injection. L'agent lit du contenu non fiable, comme un résultat de recherche web empoisonné ou une réponse de serveur MCP. Des instructions cachées poussent alors l'agent à s'échapper de son sandbox et à exécuter des commandes. C'est du zero-click.
Que dois-je faire ?
Mettez à jour Cursor vers la version 3.0 ou plus récente. Selon Cato AI Labs, la plupart des utilisateurs sont déjà sur une version corrigée. Vérifiez votre version dans l'application et mettez à jour si besoin.