Des failles contournent la sandbox de Cursor pour exécuter du code à distance

Des chercheurs ont identifié deux vulnérabilités critiques dans l’environnement de développement intégré (IDE) Cursor, permettant à des attaquants d’échapper à la sandbox de sécurité et d’exécuter du code à distance sur le système de l’utilisateur. Ces failles, référencées sous les identifiants CVE-2026-50548 et CVE-2026-50549, ont été découvertes par Cato Networks et sont notées 9,8 sur 10 en termes de gravité. L’exploitation de ces vulnérabilités ne nécessite aucune interaction préalable de l’utilisateur, ce qui les rend particulièrement préoccupantes. (csoonline.com)

La sandbox de Cursor est conçue pour isoler l’exécution des commandes du terminal émises par l’agent IA intégré, empêchant ainsi toute action malveillante sur le système sous-jacent. Cependant, ces vulnérabilités permettent à un prompt malveillant de contourner cette protection et d’exécuter des commandes arbitraires sur l’ordinateur de l’utilisateur. Les versions antérieures à la 3.0 de Cursor sont concernées par ces failles, et une mise à jour corrective a été publiée le 2 avril 2026. (thehackernews.com)

Cette découverte met en lumière les défis croissants en matière de sécurité liés à l’intégration de l’intelligence artificielle dans les outils de développement. Selon un rapport de la Cloud Security Alliance publié en avril 2026, 65 % des organisations ont subi au moins un incident de cybersécurité lié à un agent IA au cours des douze derniers mois. (leto.legal) De plus, une étude de Proofpoint révèle que 41 % des organisations françaises ont rencontré des incidents liés à l’IA malgré la mise en place de contrôles de sécurité. (proofpoint.com)

Ces statistiques soulignent l’importance pour les responsables informatiques de renforcer les mes de sécurité lors de l’adoption d’outils intégrant l’IA, afin de prévenir les risques potentiels associés à ces technologies.

(csoonline.com)

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *