CVE-2026-14699
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W bibliotece zcaceres markdownify-mcp do wersji 1.1.0 wykryto podatność polegającą na podążaniu za dowiązaniami symbolicznymi (symlink following). Problem występuje w funkcji assertPathAllowed w pliku src/Markdownify.ts i może być wykorzystany wyłącznie lokalnie.
Ocena ryzyka
Atakujący z lokalnym dostępem może poprzez manipulację dowiązaniami symbolicznymi uzyskać dostęp do plików poza zamierzonym katalogiem, co może prowadzić do nieautoryzowanego odczytu lub zapisu danych.
Rekomendacja
Należy zaktualizować bibliotekę do najnowszej wersji po opublikowaniu poprawki lub zastosować tymczasowe zabezpieczenia, takie jak ograniczenie dostępu do systemu plików dla procesu uruchamiającego markdownify-mcp.
Oryginalny opis (angielski, źródło NVD)
A weakness has been identified in zcaceres markdownify-mcp up to 1.1.0. The affected element is the function assertPathAllowed of the file src/Markdownify.ts. Executing a manipulation can lead to symlink following. The attack can only be executed locally. The pull request to fix this issue awaits acceptance.

