CVE-2026-23744
CriticalSummary
MCPJam inspector to platforma do lokalnego rozwoju dla serwerów MCP. Wersje 1.4.2 i wcześniejsze są podatne na zdalne wykonanie kodu (RCE), co pozwala atakującemu na wysłanie spreparowanego żądania HTTP, które uruchamia instalację serwera MCP, prowadząc do RCE.
Risk Assessment
Zagrożenie dla organizacji polega na możliwości zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad systemem. Domyślne nasłuchiwanie na adresie 0.0.0.0 zwiększa ryzyko, umożliwiając atak zdalny.
Recommendation
Zaleca się aktualizację do wersji 1.4.3, która zawiera poprawkę eliminującą tę podatność. Dodatkowo, warto ograniczyć nasłuchiwanie serwera do lokalnego adresu IP.
Original NVD description (English source)
MCPJam inspector is the local-first development platform for MCP servers. Versions 1.4.2 and earlier are vulnerable to remote code execution (RCE) vulnerability, which allows an attacker to send a crafted HTTP request that triggers the installation of an MCP server, leading to RCE. Since MCPJam inspector by default listens on 0.0.0.0 instead of 127.0.0.1, an attacker can trigger the RCE remotely via a simple HTTP request. Version 1.4.3 contains a patch.

