El 1 de julio de 2026, Cato AI Labs publico la investigacion completa sobre DuneSlide, dos vulnerabilidades criticas de ejecucion remota de codigo (CVSS 9.8) en Cursor, el editor de codigo con inteligencia artificial que, segun su propio fabricante, utiliza mas de la mitad de las empresas del Fortune 500. Lo mas alarmante de DuneSlide no es solo la severidad tecnica, sino la ausencia total de interaccion humana necesaria para explotarla: no hay ningun enlace en el que hacer clic, ningun cuadro de aprobacion que ignorar. El ataque se activa cuando la propia victima hace una pregunta completamente normal a su asistente de codigo, que sin saberlo incorpora contenido controlado por un atacante desde una fuente aparentemente inocua, como un servidor MCP conectado o un resultado de busqueda web envenenado. Ambos fallos, identificados como CVE-2026-50548 y CVE-2026-50549, ya estan parcheados en Cursor 3.0, publicado en abril de 2026, pero cualquier version anterior sigue expuesta.

¿Que se sabe de DuneSlide?

Los hechos documentados por Cato AI Labs, The Hacker News y CSO Online son los siguientes:

  • Naturaleza del fallo: dos vulnerabilidades independientes que permiten escapar del sandbox de ejecucion de comandos de Cursor, la capa de proteccion disenada para impedir que el agente de IA interno realice acciones no autorizadas sobre el sistema operativo subyacente.
  • CVE-2026-50548: abusa de un parametro opcional llamado working_directory en la herramienta run_terminal_cmd de Cursor. El sandbox permite escritura en la carpeta de trabajo de un comando, y esa carpeta puede ser modificada por el propio agente de IA sin restriccion. Un prompt injection puede dirigir ese parametro hacia una ruta del sistema fuera del proyecto, incluido el propio binario del sandbox (cursorsandbox en macOS) o ficheros de arranque como ~/.zshrc.
  • CVE-2026-50549: explota un fallo en la logica de resolucion de rutas de Cursor. Antes de escribir un fichero, Cursor resuelve enlaces simbolicos para confirmar que el destino real esta dentro del proyecto. El problema esta en el mecanismo de respaldo: cuando esa comprobacion falla, Cursor confia en la ruta declarada por el enlace simbolico en lugar de bloquear la operacion.
  • Cero interaccion del usuario requerida: segun los investigadores de Cato, el exploit no requiere privilegios previos ni una accion deliberada especifica. Se activa cuando la victima hace una peticion inocua que, sin saberlo, incorpora contenido controlado por el atacante desde una fuente no confiable, como un servidor MCP o un resultado de busqueda envenenado.
  • Impacto de la explotacion exitosa: sobrescribir el propio binario del sandbox convierte cualquier comando posterior en ejecucion sin restricciones, lo que deriva en compromiso completo tanto de la maquina local como de los entornos SaaS conectados al editor.
  • Cronologia de la divulgacion: Cato escalo el hallazgo el 26 de febrero de 2026. Cursor reabrio los informes, los triage y publico ambos parches en la version 3.0. Los identificadores CVE se asignaron el 5 de junio.
  • Cuarto incidente de la misma familia: DuneSlide es el ultimo de una serie de fallos en Cursor que comienzan con un prompt envenenado y terminan en ejecucion de codigo. Le preceden CurXecute (CVE-2025-54135, agosto 2025), MCPoison (CVE-2025-54136) y un hook de Git manipulado documentado en febrero de 2026 (CVE-2026-26268).
  • Alcance de la investigacion: Cato AI Labs confirma que esta divulgando responsablemente vulnerabilidades similares en otros agentes de codificacion populares, senalando que el problema no es exclusivo de Cursor sino un patron estructural en como se disenan los sandboxes de estas herramientas.

Por que Cursor y los editores de codigo con IA son un objetivo de alto valor

Cursor no es una herramienta de nicho. Su propio fabricante afirma que mas de la mitad de las empresas Fortune 500 la utilizan, y la compania fue adquirida recientemente por SpaceX por 60.000 millones de dolares en acciones, una senal clara de su centralidad en el desarrollo de software empresarial actual. Tres factores explican por que estas herramientas concentran tanto riesgo:

  1. El agente de IA tiene permisos de ejecucion reales sobre el sistema del desarrollador. A diferencia de un chatbot que solo genera texto, Cursor ejecuta comandos de terminal, escribe ficheros y modifica el sistema operativo en nombre del desarrollador. Cuando ese agente puede ser manipulado por contenido externo, el atacante hereda esos mismos permisos de ejecucion.
  2. Las fuentes de contexto del agente son mas amplias que las del propio desarrollador. Un agente de codificacion moderno no solo lee lo que el desarrollador escribe: incorpora resultados de busqueda web, respuestas de servidores MCP conectados, contenido de repositorios y documentacion externa. Cada una de esas fuentes es un vector potencial de prompt injection si no esta validada con el mismo rigor que el input directo del usuario.
  3. El endpoint del desarrollador es la puerta de entrada a la infraestructura empresarial. Un desarrollador con Cursor instalado suele tener acceso a repositorios privados, credenciales de despliegue, tokens de API y conexiones a entornos SaaS corporativos. Comprometer su maquina mediante DuneSlide no es solo un incidente local: es una via de entrada a los sistemas que ese desarrollador puede alcanzar.

Como se producen este tipo de ataques: de un prompt inocuo a la ejecucion sin restricciones

La cadena de explotacion de DuneSlide, documentada por Cato AI Labs y CSO Online, sigue este patron:

  1. El atacante planta instrucciones ocultas en una fuente que el agente de Cursor consultara. Puede ser la respuesta de un servidor MCP conectado al editor, o el contenido de una pagina web que aparece en los resultados de una busqueda que el agente realiza en nombre del desarrollador.
  2. El desarrollador hace una peticion completamente normal a su asistente de codigo. No hay nada sospechoso en la accion del usuario: simplemente esta usando Cursor como lo hace habitualmente.
  3. El agente de IA incorpora sin saberlo el contenido malicioso durante el procesamiento de esa peticion. Las instrucciones ocultas del atacante se mezclan con el contexto legitimo que el modelo esta procesando.
  4. El prompt injection dirige al agente a modificar el parametro working_directory o a crear un enlace simbolico malicioso. En el caso de CVE-2026-50548, el agente establece una ruta de trabajo fuera del proyecto. En el caso de CVE-2026-50549, crea un symlink que apunta a un fichero externo.
  5. Cursor confia en la ruta manipulada y escribe fuera de los limites del sandbox. El atacante puede entonces sobrescribir el propio binario de sandboxing o ficheros de arranque del sistema.
  6. Los comandos posteriores se ejecutan sin ninguna restriccion. Una vez neutralizado el sandbox, cualquier comando que el agente ejecute a partir de ese momento tiene acceso completo al sistema operativo subyacente, sin ningun tipo de contencion.

Lecciones clave para empresas y directivos con equipos de desarrollo

DuneSlide confirma una tendencia que el blog de Apolo lleva documentando desde junio: los agentes de IA en herramientas de desarrollo son ya un vector de ataque real, no una hipotesis academica. Las acciones recomendadas para organizaciones con Cursor u otras herramientas similares en produccion son:

  • Actualizar a Cursor 3.0 o superior de inmediato. El parche esta disponible desde abril de 2026. Cualquier version anterior sigue expuesta a ambos CVEs.
  • Auditar que fuentes de contexto externo puede consultar el agente de codificacion. Revisar que servidores MCP estan conectados, que permisos de busqueda web tiene habilitados el agente, y limitar esas conexiones a las estrictamente necesarias.
  • Tratar el sandbox como una capa de defensa, no como la unica proteccion. Cato AI Labs es explicito: el sandboxing por si solo no es suficiente si la validacion de parametros y la resolucion de rutas tienen fallos logicos. Las organizaciones deben implementar controles adicionales, como restricciones de red a nivel de sistema operativo para los procesos que ejecuta el agente.
  • No asumir que otros agentes de codificacion con IA estan libres de este patron. Cato AI Labs confirma que esta divulgando vulnerabilidades similares en otras herramientas populares. El problema es arquitectonico, no exclusivo de un producto.
  • Limitar los permisos de las credenciales accesibles desde el entorno de desarrollo. Dado que un endpoint de desarrollador comprometido puede convertirse en via de acceso a sistemas corporativos, aplicar el principio de minimo privilegio a los tokens y credenciales disponibles en esas maquinas reduce el impacto de un compromiso exitoso.

La ciberseguridad como prioridad estrategica

DuneSlide es la cuarta vulnerabilidad de este tipo documentada en Cursor desde agosto de 2025, y Cato AI Labs advierte que no sera la ultima que encuentren en el ecosistema de agentes de codificacion. El patron es consistente con lo que el blog de Apolo ha documentado durante todo el mes de junio: el NCSC britanico advirtiendo sobre los riesgos del codigo generado sin supervision, y Cordyceps demostrando que los propios pipelines de CI/CD son vulnerables a la composicion insegura de workflows. DuneSlide anade una tercera capa a esa narrativa: el propio editor donde el desarrollador escribe el codigo puede ser secuestrado sin que medie ningun clic. Para las organizaciones que han adoptado editores de codigo con IA como parte de su flujo de trabajo diario, la pregunta de hoy es directa: sabes que version de Cursor u otras herramientas similares estan usando tus desarrolladores, y que fuentes externas de contexto tienen habilitadas sus agentes de IA?

Apolo Cybersecurity: auditoria de seguridad de agentes de codificacion con IA

En Apolo Cybersecurity ayudamos a organizaciones a evaluar el riesgo de sus herramientas de desarrollo asistidas por IA: verificacion del estado de actualizacion de editores como Cursor en toda la flota de desarrolladores, auditoria de las conexiones MCP y fuentes de contexto externo habilitadas en los agentes de codificacion, diseno de controles de red complementarios al sandboxing nativo de estas herramientas, y evaluacion del alcance de credenciales y permisos accesibles desde los entornos de desarrollo.

Si tu organizacion usa Cursor u otro editor de codigo con IA y no tienes confirmacion de que todos los equipos estan en la ultima version parcheada, este es el momento de verificarlo.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!