A
今日中
AIコードエディタ「Cursor」に、OSレベルのリモートコード実行(RCE)を可能にする2つの深刻な脆弱性(DuneSlide)
📌 一言でいうと
AIコードエディタ「Cursor」に、OSレベルのリモートコード実行(RCE)を可能にする2つの深刻な脆弱性(DuneSlide)が発見されました。攻撃者が制御するペイロードをIDEに読み込ませることで、サンドボックスの制限を回避して任意のコマンドを実行される恐れがあります。CVSSスコアは9.8と非常に高く、早急な対策が推奨されます。
🔍該当判定
- AI搭載のコードエディタ「Cursor」を社内で利用している
- CursorでAIによるターミナルコマンドの自動実行機能を有効にしている
- Cursorで外部から提供されたコードやMCPサーバー(外部連携機能)を利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Cursorの最新バージョンへのアップデートを確認し、適用すること。また、信頼できないソースからのコードやペイロードをIDEに読み込ませないよう注意してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Cursor AI Code Editor 脆弱性 (CVE-2026-50548, CVE-2026-50549) 対応について
お疲れさまです。Cursor AI Code Editorにおける深刻な脆弱性に関する情報共有です。
■ 概要
AIコードエディタ「Cursor」において、サンドボックスを回避してOSレベルでリモートコード実行(RCE)が可能な脆弱性(通称: DuneSlide)が報告されました。CVSSスコアは9.8と極めて高く、攻撃者が制御するペイロードを読み込ませることで、権限のないコマンド実行が行われる可能性があります。
■ 影響範囲
- 対象製品: Cursor AI Code Editor
- 脆弱性番号: CVE-2026-50548, CVE-2026-50549
■ 対応手順
1. 社内でCursorを利用している開発者の利用状況を把握してください。
2. Cursorを最新バージョンにアップデートするよう指示してください。
3. 信頼できない外部リポジトリやペイロードをIDEにインポートしないよう周知してください。
■ 参考情報
- Cato Networks レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Cursor AI Code Editorにおける深刻な脆弱性に関する情報共有です。
■ 概要
AIコードエディタ「Cursor」において、サンドボックスを回避してOSレベルでリモートコード実行(RCE)が可能な脆弱性(通称: DuneSlide)が報告されました。CVSSスコアは9.8と極めて高く、攻撃者が制御するペイロードを読み込ませることで、権限のないコマンド実行が行われる可能性があります。
■ 影響範囲
- 対象製品: Cursor AI Code Editor
- 脆弱性番号: CVE-2026-50548, CVE-2026-50549
■ 対応手順
1. 社内でCursorを利用している開発者の利用状況を把握してください。
2. Cursorを最新バージョンにアップデートするよう指示してください。
3. 信頼できない外部リポジトリやペイロードをIDEにインポートしないよう周知してください。
■ 参考情報
- Cato Networks レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Cursor AI Code Editor Vulnerabilities (CVE-2026-50548, CVE-2026-50549)
Dear IT/Security Team,
We are sharing information regarding critical vulnerabilities discovered in the Cursor AI code editor.
■ Overview
Two critical flaws, collectively known as 'DuneSlide' (CVE-2026-50548 and CVE-2026-50549), allow for Remote Code Execution (RCE) on the host operating system. By bypassing the IDE's sandbox, an attacker can execute arbitrary commands if a user prompts the IDE to ingest a malicious payload. The CVSS score is 9.8.
■ Scope
- Product: Cursor AI Code Editor
- CVEs: CVE-2026-50548, CVE-2026-50549
■ Action Plan
1. Identify developers within the organization using the Cursor editor.
2. Ensure all instances are updated to the latest patched version immediately.
3. Advise users against importing untrusted payloads or code into the IDE.
■ Reference
- Cato Networks Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding critical vulnerabilities discovered in the Cursor AI code editor.
■ Overview
Two critical flaws, collectively known as 'DuneSlide' (CVE-2026-50548 and CVE-2026-50549), allow for Remote Code Execution (RCE) on the host operating system. By bypassing the IDE's sandbox, an attacker can execute arbitrary commands if a user prompts the IDE to ingest a malicious payload. The CVSS score is 9.8.
■ Scope
- Product: Cursor AI Code Editor
- CVEs: CVE-2026-50548, CVE-2026-50549
■ Action Plan
1. Identify developers within the organization using the Cursor editor.
2. Ensure all instances are updated to the latest patched version immediately.
3. Advise users against importing untrusted payloads or code into the IDE.
■ Reference
- Cato Networks Report
Priority: High
Deadline: Immediate