CVE-2025-35028
CriticalSummary
Podatność CVE-2025-35028 pozwala na wykonanie polecenia w kontekście serwera MCP z normalnymi uprawnieniami, zazwyczaj jako root, poprzez dostarczenie argumentu wiersza poleceń zaczynającego się od średnika do punktu końcowego API. W domyślnej konfiguracji serwera MCP nie ma próby sanitizacji tych argumentów.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do pełnej kompromitacji serwera MCP, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Recommendation
Zaleca się aktualizację serwera MCP do najnowszej wersji oraz wdrożenie mechanizmów sanitizacji argumentów wprowadzanych do punktów końcowych API.
Original NVD description (English source)
By providing a command-line argument starting with a semi-colon ; to an API endpoint created by the EnhancedCommandExecutor class of the HexStrike AI MCP server, the resultant composed command is executed directly in the context of the MCP server’s normal privilege; typically, this is root. There is no attempt to sanitize these arguments in the default configuration of this MCP server at the affected version (as of commit 2f3a5512 in September of 2025).

