DuneSlide (CVE-2026-50548 et CVE-2026-50549) : deux failles CVSS 9.8 zero-click dans Cursor AI IDE permettant une RCE complete via injection de prompts et evasion de sandbox. Toutes versions avant Cursor 3.0 sont affectees.
En bref
- CVE-2026-50548 et CVE-2026-50549 ("DuneSlide") : deux failles RCE zero-click CVSS 9.8 dans Cursor AI IDE, evasion complete de sandbox via injection de prompts, decouvertes par Cato AI Labs
- Systemes affectes : toutes versions de Cursor IDE anterieures a la version 3.0, sur macOS, Windows et Linux — plus de la moitie des entreprises du Fortune 500 utilisent Cursor
- Action urgente : mettre a jour Cursor IDE vers la version 3.0 immediatement et renouveler les credentials presents sur les machines de developpement potentiellement exposees
Les faits
Debut juillet 2026, les chercheurs de Cato AI Labs ont publie les details techniques de deux vulnerabilites critiques dans Cursor IDE — l'editeur de code assiste par IA qui revendique une adoption parmi plus de la moitie des entreprises du Fortune 500. Ces failles, regroupees sous le nom de code "DuneSlide", ont ete assignees CVE-2026-50548 et CVE-2026-50549 et obtiennent chacune un score CVSS v3.1 de 9.8 (Critical), avec un vecteur reseau (AV:N), aucune authentification requise (PR:N), aucune interaction utilisateur necessaire (UI:N) et un impact total sur les trois piliers CIA. Leur vecteur d'attaque commun est particulierement insidieux : l'injection de prompts (prompt injection), qui transforme du contenu texte apparemment anodin lu par l'agent IA de Cursor en instructions d'execution arbitraire sur le systeme hote.
CVE-2026-50548 exploite une logique defectueuse dans la gestion des permissions d'ecriture du sandbox de Cursor. Lorsque l'agent IA de Cursor execute une commande systeme via son environnement sandboxe, il accepte un parametre working_directory definissant le repertoire de travail de la commande. La faille reside dans le fait que Cursor ajoute automatiquement et sans validation suffisante ce repertoire de travail a sa liste de chemins autorises en ecriture. Un attaquant peut specifier un working_directory arbitraire pointant vers le repertoire contenant le binaire du helper de sandbox lui-meme. Sur macOS, ce helper se situe dans /Applications/Cursor.app/Contents/Resources/app/resources/helpers/cursorsandbox. En remplacant ce binaire par un executable malveillant via la permission d'ecriture ainsi obtenue, toutes les commandes ulterieures de l'agent s'executent en dehors de tout sandbox, ouvrant la voie a une compromission totale du systeme hote.
CVE-2026-50549 exploite une vulnerabilite distincte dans le meme mecanisme de sandbox, liee a la resolution des liens symboliques (symlinks). Cursor tente de valider que la destination d'un lien symbolique se trouve bien a l'interieur du repertoire de projet autorise en ecriture, afin d'empecher les ecritures en dehors du perimetre autorise. Cependant, lorsque cette verification echoue — par exemple en raison d'une exception ou d'un chemin non resolvable — le code retombe sur une logique de fallback qui fait confiance au chemin du lien symbolique lui-meme (le chemin source dans le projet) plutot qu'a sa destination reelle. Un attaquant peut ainsi creer un lien symbolique dans le projet pointant vers un fichier systeme critique et y ecrire librement via le mecanisme de sandbox de Cursor.
Le vecteur d'attaque qui rend ces failles "zero-click" est l'injection de prompts. L'attaquant n'a jamais besoin d'acceder directement a l'IDE de la victime, de lui envoyer un fichier ou d'interagir avec elle de quelque maniere que ce soit. Il lui suffit de placer des instructions malveillantes dans du contenu que l'agent IA de Cursor va lire automatiquement dans le cadre d'une tache legitime : une page web retournee par une recherche que l'agent effectue, un document recupere via un outil MCP (Model Context Protocol) connecte a un service externe, un fichier README dans un depot de code public, des metadonnees d'un package npm ou PyPI. Quand l'agent traite ce contenu, il lit les instructions injectees et les interprete comme des instructions legitimes de l'utilisateur, les executant avec toutes ses permissions.
L'attaque complete se deroule en plusieurs etapes entierement automatisees et invisibles pour le developpeur victime : (1) le developpeur demande a l'agent Cursor une tache impliquant la consultation de contenu externe — rechercher de la documentation, analyser un depot GitHub, utiliser un serveur MCP connecte a une base de connaissances ; (2) le contenu externe consulte contient des instructions de prompt injection camouflees dans du texte apparemment legitime ; (3) l'agent interprete ces instructions injectees et execute une commande systeme en definissant un working_directory malveillant (CVE-2026-50548) ou en creant un symlink (CVE-2026-50549) ; (4) le sandbox de Cursor est neutralise et les commandes suivantes s'executent avec les privileges complets du processus Cursor sur le systeme hote.
L'impact potentiel est maximal. Une fois le sandbox neutralise, un attaquant peut executer du code arbitraire avec les droits de l'utilisateur qui execute Cursor — generalement le developpeur lui-meme avec acces a tous ses fichiers personnels, cles SSH, tokens d'API, variables d'environnement contenant des secrets, et workspaces SaaS connectes (GitHub, AWS, GCP, Azure, bases de donnees de developpement). Sur les machines de developpement, cela signifie concretement l'acces aux credentials cloud, aux tokens d'authentification GitHub/GitLab, aux cles de signature de code, aux bases de code proprietaires et aux acces aux systemes de production via les pipelines CI/CD. La chaine d'attaque peut transformer un simple contenu malveillant dans un depot public en compromission complete d'une infrastructure cloud d'entreprise.
Cato AI Labs a procede a une divulgation responsable en notifiant Cursor avant la publication des details techniques. Les deux failles ont ete corrigees dans Cursor version 3.0, publiee le 2 avril 2026. La divulgation publique detaillee a eu lieu debut juillet 2026, laissant trois mois aux utilisateurs pour mettre a jour. Cependant, ce delai ne garantit pas une couverture universelle : de nombreuses organisations ont des politiques de mise a jour conservatrices pour les outils de developpement, ou des environnements geres centralement ou Cursor n'a pas encore ete deploye en version 3.0. Toute instance Cursor anterieure a 3.0 reste donc vulnerable a DuneSlide.
D'apres CSO Online et SecurityWeek, DuneSlide illustre une nouvelle classe de risques specifiques aux IDE assistes par IA : ces outils, concus pour augmenter la productivite des developpeurs, introduisent une surface d'attaque inedite via leurs agents autonomes capables d'acceder a des ressources externes, d'executer du code et de modifier le systeme de fichiers. Les serveurs MCP (Model Context Protocol), qui permettent a des outils externes de fournir des donnees directement a l'agent sans verification du contenu, representent un vecteur d'injection particulierement preoccupant. D'autres IDE IA-assistes utilisant des architectures similaires pourraient etre affectes par des variantes de cette meme classe de vulnerabilites.
Impact et exposition
Cursor IDE connait une adoption importante depuis 2024, avec une presence declaree dans plus de la moitie des entreprises du Fortune 500 et des millions de developpeurs individuels. Sa popularite dans les startups technologiques, les equipes de developpement logiciel, les cabinets de conseil en ingenierie et les environnements DevOps signifie que des millions de machines de developpement pourraient etre exposees a DuneSlide si Cursor n'a pas ete mis a jour vers la version 3.0. Les environnements les plus a risque sont ceux ou les developpeurs utilisent les fonctionnalites d'agent autonome avec des outils MCP connectes a des sources de donnees externes, ou avec la fonctionnalite de navigation web activee pour des taches de recherche documentaire.
La gravite de l'exploitation de DuneSlide tient a la position strategique des machines de developpeur dans l'infrastructure des entreprises. Ces machines concentrent typiquement des credentials d'acces aux environnements de production, des cles API de services critiques, des secrets de deploiement, et des acces a des depots de code source proprietaire via des tokens Git. Une compromission reussie peut servir de tremplin vers une violation de donnees majeure, un sabotage du pipeline CI/CD, ou une attaque de la chaine d'approvisionnement logicielle (supply chain attack) si du code malveillant est injecte dans les commits du developpeur compromis avant publication dans un depot partage ou un paquet open-source distribue a des milliers d'utilisateurs.
Les developpeurs qui utilisent Cursor exclusivement pour de l'edition de code locale sans fonctionnalites d'agent autonome ou de navigation web sont moins directement exposes, car le vecteur d'attaque principal est l'injection via du contenu externe lu par l'agent. Neanmoins, meme dans ce contexte, tout fichier de projet provenant d'un tiers — un package open-source, un template de configuration, un fichier YAML d'infrastructure — pourrait theoriquement contenir des instructions de prompt injection activees si le developpeur active ulterieurement les fonctionnalites d'agent sur ce contenu.
Recommandations immediates
- Mettre a jour Cursor IDE vers la version 3.0 ou superieure immediatement — verifier la version via le menu Help > About Cursor dans l'IDE ou via
cursor --versionen ligne de commande - Si la mise a jour immediate est impossible : desactiver les fonctionnalites d'agent autonome de Cursor et ne connecter aucun outil MCP a des sources de donnees externes non verifiees
- Renouveler immediatement tous les credentials, tokens d'API, cles SSH et secrets presents sur les machines de developpement qui ont utilise Cursor avec des fonctionnalites d'agent avant la mise a jour vers la version 3.0
- Auditer les logs de commandes executees par Cursor sur les machines potentiellement exposees : rechercher des modifications inattendues de fichiers systeme, des connexions reseau sortantes anormales, des processus enfants lances par le processus Cursor
- Sensibiliser les equipes de developpement aux risques d'injection de prompts dans les outils IA : ne jamais donner a l'agent acces a des depots ou des sources de donnees non verifies lors de taches sensibles impliquant des credentials ou des acces production
- Pour les equipes SecOps : deployer des regles de detection d'anomalies sur les processus enfants lances par les processus Cursor (detection de pid parent Cursor lancant des shell interactifs ou des processus reseau inattendus)
⚠ Urgence critique — compromission zero-click
CVE-2026-50548 et CVE-2026-50549 permettent la compromission complete de la machine du developpeur sans aucune action de sa part. Si votre equipe utilise Cursor IDE, verifiez immediatement que toutes les installations sont en version 3.0 ou superieure. Les machines de developpeur compromises donnent un acces direct aux systemes de production via les credentials et les pipelines CI/CD.
Comment savoir si je suis vulnerable ?
Dans Cursor IDE, ouvrez le menu Help (ou le menu Cursor sur macOS) puis cliquez sur "About Cursor". Si le numero de version affiche est inferieur a 3.0.0, votre installation est vulnerable a DuneSlide. Vous pouvez egalement verifier en ligne de commande : cursor --version si Cursor est dans votre PATH systeme. Pour verifier toutes les installations sur un parc de machines, une requete sur le gestionnaire de paquets de votre MDM (Mobile Device Management) ou une commande PowerShell/Bash centralisee permettra d'identifier les postes non mis a jour. La mise a jour peut etre declenchee depuis l'IDE via Help > Check for Updates.
Vos environnements de developpement sont-ils securises ?
Ayi NEDJIMI realise des audits de securite de vos environnements de developpement, de votre chaine CI/CD et de vos outils IA integres.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Adobe juillet 2026 : 7 vulnerabilites CVSS 10.0 critiques
Adobe corrige 7 vulnerabilites CVSS 10.0 dans ColdFusion 2023/2025 et Campaign Classic v7 le 1er juillet 2026. Patches Priority 1 a appliquer immediatement sur toutes les installations on-premise.
CVE-2026-45659 : RCE SharePoint dans le KEV CISA, exploit actif
CVE-2026-45659 est une faille RCE CVSS 8.8 dans Microsoft SharePoint Server, ajoutee au KEV CISA apres confirmation d'exploitation active. Le patch Microsoft de mai 2026 doit etre applique immediatement.
CVE-2026-20245 : 0-day Cisco SD-WAN Manager, aucun patch
CVE-2026-20245 est un zero-day affectant Cisco Catalyst SD-WAN Manager permettant l'exécution de commandes root via upload de fichier malveillant. Aucun correctif disponible. CISA KEV depuis le 9 juin 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire