製品・ソフトウェアに関する情報

JVN脆弱性詳細

AnysphereのCursorにおけるリンク解釈に関する脆弱性

Title	AnysphereのCursorにおけるリンク解釈に関する脆弱性
Summary	CursorはAIを活用したプログラミング向けコードエディタです。バージョン3.0以前では、Cursorはエージェントのターミナルコマンドをデフォルトでサンドボックス内で実行していました。Write操作の前に、エージェントは対象パスを正規化してワークスペース内に留まっていることを確認しますが、正規化に失敗した場合は元のパスに戻り、承認なしで書き込みを行います。悪意のあるエージェントは、ワークスペース内にワークスペース外を指すシンボリックリンクを作成し、ターゲットが存在しないかパスの読み取り権限が削除されているために正規化を失敗させ、承認なしにシンボリックリンク経由で任意の場所に書き込みを強制できます。これにより、悪意のあるエージェントはユーザー権限下でワークスペース外に任意のファイルを書き込むことが可能となります。この脆弱性を利用すると、後のコマンドがサンドボックス外で実行されるようにcursorsandboxヘルパーを上書きするなどして、ユーザーの操作なしに非サンドボックス環境でのリモートコード実行が可能になります。この脆弱性はバージョン3.0で修正されました。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 25, 2026, midnight
Registration Date	June 29, 2026, 11:13 a.m.
Last Update	June 29, 2026, 11:13 a.m.

CVSS3.0 : 緊急
Score	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Affected System

Anysphere

Cursor 3.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-50549	https://www.cve.org/CVERecord?id=CVE-2026-50549
National Vulnerability Database (NVD)
2	CVE-2026-50549	https://nvd.nist.gov/vuln/detail/CVE-2026-50549

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-59	https://jvndb.jvn.jp/ja/cwe/CWE-59.html

ベンダー情報

No	Name	URL
GitHub
1	Cursor Desktop sandbox escape via symlink and failed path canonicalization Advisory cursor/cursor GitHub	https://github.com/cursor/cursor/security/advisories/GHSA-3v8f-48vw-3mjx

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:13 a.m.

NVD Vulnerability Information

CVE-2026-50549

Summary	Cursor is a code editor built for programming with AI. Prior to 3.0, Cursor runs agent terminal commands in a sandbox by default. Before a Write, the agent canonicalizes the target path to confirm it stays inside the workspace, but when canonicalization fails it falls back to the original path and writes without approval. A malicious agent can create an in-workspace symlink that points outside the workspace and force canonicalization to fail — either because the target does not exist or because read permission is removed from the path — so the agent writes through the symlink to an arbitrary location without approval. A malicious agent could write arbitrary files outside the workspace under the user's privileges. This enables non-sandboxed Remote Code Execution — for example by overwriting the cursorsandbox helper so later commands run unsandboxed — with no user interaction beyond a benign prompt. This vulnerability is fixed in 3.0.
Publication Date	June 26, 2026, 4:16 a.m.
Registration Date	June 27, 2026, 4:30 a.m.
Last Update	June 27, 2026, 1:51 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:anysphere:cursor::::::::					3.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/cursor/cursor/security/advisories/GHSA-3v8f-48vw-3mjx	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-59	リンク解釈の問題	https://cwe.mitre.org/data/definitions/59.html