CVE-2026-10690
ŚrednieCVSS 6.3Streszczenie
Zidentyfikowano podatność w wonderwhy-er DesktopCommanderMCP w wersji 0.2.37, która dotyczy funkcji readFileFromUrl w pliku src/tools/filesystem.ts. Manipulacja argumentem url prowadzi do ataku typu server-side request forgery.
Ocena ryzyka
Atak może być przeprowadzony zdalnie, a dostępne publicznie exploity mogą być wykorzystane przez potencjalnych napastników, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się zastosowanie łatki o nazwie 53699bebba9950047bca16ac4dc8f0568f596aaa w celu rozwiązania tego problemu.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was identified in wonderwhy-er DesktopCommanderMCP 0.2.37. This affects the function readFileFromUrl of the file src/tools/filesystem.ts of the component read_file. Such manipulation of the argument url leads to server-side request forgery. The attack may be performed from remote. The exploit is publicly available and might be used. The name of the patch is 53699bebba9950047bca16ac4dc8f0568f596aaa. It is best practice to apply a patch to resolve this issue.

