Katalog CVE

CVE-2026-14699

NiskieCVSS 3.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

W bibliotece zcaceres markdownify-mcp do wersji 1.1.0 wykryto podatność polegającą na podążaniu za dowiązaniami symbolicznymi (symlink following). Problem występuje w funkcji assertPathAllowed w pliku src/Markdownify.ts i może być wykorzystany wyłącznie lokalnie.

Ocena ryzyka

Atakujący z lokalnym dostępem może poprzez manipulację dowiązaniami symbolicznymi uzyskać dostęp do plików poza zamierzonym katalogiem, co może prowadzić do nieautoryzowanego odczytu lub zapisu danych.

Rekomendacja

Należy zaktualizować bibliotekę do najnowszej wersji po opublikowaniu poprawki lub zastosować tymczasowe zabezpieczenia, takie jak ograniczenie dostępu do systemu plików dla procesu uruchamiającego markdownify-mcp.

Oryginalny opis (angielski, źródło NVD)

A weakness has been identified in zcaceres markdownify-mcp up to 1.1.0. The affected element is the function assertPathAllowed of the file src/Markdownify.ts. Executing a manipulation can lead to symlink following. The attack can only be executed locally. The pull request to fix this issue awaits acceptance.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS