Cato AI Labs a divulgué deux failles critiques dans Cursor, l'éditeur de code IA. Le duo est surnommé DuneSlide. Selon Cato AI Labs, les deux portent un score CVSS critique de 9.8. La bonne nouvelle d'abord : elles sont déjà corrigées dans Cursor 3.0. Pour la vue d'ensemble côté sûreté, notre guide Cursor IA est-il sûr et notre panorama sécurité des agents IA aident.
Ce que Cato AI Labs a trouvé
Selon Cato AI Labs, ses chercheurs ont trouvé deux failles dans Cursor. Cato a nommé le duo DuneSlide. Les failles ont reçu deux identifiants : CVE-2026-50548 et CVE-2026-50549. Les deux portent un score CVSS critique de 9.8, la tranche la plus haute. Cato AI Labs a partagé les détails le 1er juillet 2026.
Cato note aussi l'ampleur de l'usage de Cursor. Selon Cato AI Labs, plus de la moitié du Fortune 500 l'utilise. Une faille ici touche donc beaucoup d'équipes.
Comment fonctionne l'attaque DuneSlide
Selon Cato AI Labs, l'attaque part d'une indirect prompt injection. L'idée est simple. Vous tapez un prompt normal et anodin. L'agent IA lit ensuite du contenu externe pour vous aider. Ce contenu peut être un résultat de recherche web ou une réponse d'un serveur MCP. Si un attaquant contrôle ce contenu, il peut y cacher des ordres.
L'agent lit ces ordres cachés. Il les traite comme votre demande. Selon Cato AI Labs, cela permet à l'agent de s'échapper de son sandbox. Le sandbox est la boîte sûre qui tient l'agent à l'écart du reste de votre machine. Une fois dehors, l'agent peut exécuter des commandes sur votre ordinateur. Les équipes sécurité appellent cela RCE, pour remote code execution.
Un détail compte. Selon Cato AI Labs, l'attaque est zero-click. Vous ne cliquez sur aucun lien piégé. Vous lancez juste un prompt normal qui, par hasard, aspire le contenu empoisonné.

Les deux failles en clair
Selon Cato AI Labs, chaque CVE utilise une astuce différente.
- CVE-2026-50548 : le prompt caché dit à l'agent de fixer son working_directory hors du dossier projet. Cela lui permet d'écrire dans des emplacements sensibles, comme le helper cursorsandbox. Écrire là désactive le sandbox.
- CVE-2026-50549 : le prompt caché crée un symlink dans le projet. Un symlink est un raccourci qui pointe vers un autre fichier. Ici il pointe vers un fichier hors du projet. Cursor lance une étape pour nettoyer le chemin. Selon Cato AI Labs, quand cette étape échoue, l'agent retombe sur le chemin brut du symlink, qui n'est jamais validé.
Les deux astuces finissent pareil. L'agent quitte sa boîte sûre et agit selon les termes de l'attaquant.
Le point clé : déjà corrigé dans Cursor 3.0
Voici la partie qui doit vous rassurer. Selon Cato AI Labs, les deux failles touchent seulement les versions antérieures à Cursor 3.0. Cursor 3.0 est sortie le 2 avril 2026. Elle corrige déjà les deux. Le correctif précède donc le rapport public.
L'action est petite : mettez à jour Cursor vers la 3.0 ou plus récent. La plupart des gens y sont déjà. Selon Cato AI Labs, aucune attaque dans la nature n'a été rapportée. C'est un cas « on patche et on passe à autre chose », pas une crise. Si vous comparez des outils, notre comparatif Cursor vs Claude Code et notre liste alternatives à Cursor 2026 peuvent aider.
La chronologie de la divulgation
Selon Cato AI Labs, le signalement a connu plusieurs étapes :
- 19 février : Cato signale les failles à Cursor.
- 23 février : Cursor rejette d'abord le rapport. Son modèle de menace ne comptait pas l'abus de serveur MCP comme un risque.
- 26 février : après relance de Cato, Cursor rouvre le dossier.
- Cursor 3.0 : le correctif est livré dans cette version.
La leçon est large. À mesure que les agents IA lisent plus de contenu externe, les couches MCP et web deviennent une surface d'attaque. Notre guide meilleurs assistants de coding IA 2026 explique comment les principaux outils gèrent cela.
Ce que les développeurs doivent faire
Restez simple. Ouvrez Cursor et vérifiez votre version. Si elle est en dessous de la 3.0, mettez à jour maintenant. Si elle est en 3.0 ou plus récente, vous avez déjà le correctif. Traitez les serveurs MCP et les sources web comme n'importe quelle entrée : utiles, mais pas toujours sûrs. Cato AI Labs a trouvé les failles, Cursor les a corrigées, et il vous suffit de rester à jour.



