CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-66401

Critical
Published: Translated: NVD NIST

Summary

MCP Watch to kompleksowy skaner bezpieczeństwa dla serwerów Model Context Protocol (MCP). W wersji 0.1.2 i wcześniejszych klasa MCPScanner zawiera krytyczną podatność na wstrzyknięcie poleceń w metodzie cloneRepo, gdzie argument githubUrl jest przekazywany bezpośrednio do powłoki systemowej bez sanitizacji.

Risk Assessment

Atakujący może wykonać dowolne polecenia na maszynie gospodarza, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji MCP Watch, która naprawia tę podatność oraz wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych.

Original NVD description (English source)

MCP Watch is a comprehensive security scanner for Model Context Protocol (MCP) servers. In 0.1.2 and earlier, the MCPScanner class contains a critical Command Injection vulnerability in the cloneRepo method. The application passes the user-supplied githubUrl argument directly to a system shell via execSync without sanitization. This allows an attacker to execute arbitrary commands on the host machine by appending shell metacharacters to the URL.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS