Die Schwachstelle betrifft den KI-gestützten Code-Editor Cursor, genauer die Sandbox, in der die KI-Assistenz Terminalbefehle ausführt. Diese Sandbox gewährt einem Befehl standardmäßig Schreibzugriff auf sein Arbeitsverzeichnis. Der Fehler liegt darin, wie die Assistenz den Parameter für das Arbeitsverzeichnis verändern kann: Wird er auf einen sensiblen Ort außerhalb des vorgesehenen Arbeitsbereichs gesetzt, bezieht die Sandbox auch dort liegende, beschreibbare Pfade mit ein. Eine bösartig gesteuerte Assistenz kann so beliebige Dateien außerhalb des Arbeitsbereichs schreiben – mit den Rechten des angemeldeten Benutzers. Dadurch lässt sich die Sandbox aushebeln: Überschreibt der Angreifer etwa die Hilfskomponente, die die Sandbox einrichtet, laufen nachfolgende Befehle ganz ohne Sandbox und ermöglichen eine Codeausführung auf dem System. Ausgelöst wird das ohne weiteres Zutun des Nutzers – eine harmlos wirkende Eingabeaufforderung genügt, um die manipulierte Assistenz in Gang zu setzen.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel Wochenrückblick: Schlag gegen NetNut und lange Liste neuer Schwachstellen 06.07.2026
- Artikel Kritische Lücken in Cursor ermöglichen Codeausführung außerhalb der Sandbox 03.07.2026