Cato Networks beschreibt die erste Schwachstelle als Problem an den Sicherheitsgrenzen der Sandbox. Eigentlich sollte die Befehlsausführung auf das aktuelle Arbeitsverzeichnis beschränkt sein. Wird dem Parameter working_directory jedoch ein nicht standardmäßiger Wert zugewiesen, landet dieser Pfad laut Cato auf der Zulassungsliste.
Dadurch könne bereits eine unauffällige Anfrage an einen MCP-Server eine Prompt-Injection einschleusen, die das Sprachmodell dazu veranlasst, das Arbeitsverzeichnis auf einen von Angreifern vorgegebenen Pfad außerhalb des Projektumfangs zu setzen. Ein Angreifer könne so die Datei cursorsandbox überschreiben. Laut Cato hätte das zur Folge, dass „künftige Befehle ohne Sandbox-Beschränkungen laufen, sodass weitere Anweisungen innerhalb derselben Prompt-Injection zu einer nicht in der Sandbox ausgeführten Remotecodeausführung führen“.
Die zweite Schwachstelle ist laut Cato unabhängig von der ersten und betrifft Randfälle bei der Auflösung von Dateipfaden in der Entwicklungsumgebung. Sie lasse sich über symbolische Links ausnutzen, um Schutzmechanismen gegen Schreibzugriffe außerhalb des erlaubten Bereichs zu umgehen.
Nach der Beschreibung des Sicherheitsanbieters kann ein Angreifer einen Prompt erstellen, der nach dem Einschleusen in Cursor den Agenten anweist, innerhalb des Projektverzeichnisses einen symbolischen Link auf eine Datei außerhalb dieses Verzeichnisses anzulegen. Ein Fehler in der Logik zur Kanonisierung von Pfaden führt demnach dazu, dass Cursor beim Versuch, den symbolischen Link aufzulösen und seinen Speicherort zu prüfen, auf den ursprünglichen Pfad des Links zurückfällt.
Cato formuliert den Effekt so: „Ein Angreifer kann dann einen symbolischen Link erstellen, der nur Schreibzugriffe erlaubt, und Cursor damit dazu zwingen anzunehmen, dass der aufgelöste Pfad der Pfad des symbolischen Links und nicht der Zielpfad ist.“ Dadurch scheitere die Erkennung, dass das eigentliche Ziel außerhalb des zulässigen Bereichs liege. Auf diesem Weg könne erneut die Datei cursorsandbox verlinkt und damit die Schutzgrenze umgangen werden.
Cato meldete beide Schwachstellen nach eigenen Angaben im Februar an Cursor. Korrekturen für beide Fehler wurden in Cursor 3.0 ausgeliefert, das am 2. April erschien. Die Kennungen CVE-2026-50548 und CVE-2026-50549 wurden Anfang Juni vergeben.
