Katalog CVE

CVE-2025-66401

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

MCP Watch to kompleksowy skaner bezpieczeństwa dla serwerów Model Context Protocol (MCP). W wersji 0.1.2 i wcześniejszych klasa MCPScanner zawiera krytyczną podatność na wstrzyknięcie poleceń w metodzie cloneRepo, gdzie argument githubUrl jest przekazywany bezpośrednio do powłoki systemowej bez sanitizacji.

Ocena ryzyka

Atakujący może wykonać dowolne polecenia na maszynie gospodarza, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji MCP Watch, która naprawia tę podatność oraz wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

MCP Watch is a comprehensive security scanner for Model Context Protocol (MCP) servers. In 0.1.2 and earlier, the MCPScanner class contains a critical Command Injection vulnerability in the cloneRepo method. The application passes the user-supplied githubUrl argument directly to a system shell via execSync without sanitization. This allows an attacker to execute arbitrary commands on the host machine by appending shell metacharacters to the URL.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS