Katalog CVE

CVE-2026-14702

NiskieCVSS 2.5
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W bibliotece zcaceres markdownify-mcp do wersji 1.1.0 wykryto podatność polegającą na generowaniu niewystarczająco losowych wartości w funkcji saveToTempFile pliku src/Markdownify.ts. Atak wymaga lokalnego dostępu i jest trudny do przeprowadzenia, ale exploit został już opublikowany.

Ocena ryzyka

Organizacja może być narażona na lokalne ataki, które mogą prowadzić do przewidywania nazw plików tymczasowych i potencjalnego naruszenia integralności danych. Ze względu na wysoką złożoność ataku ryzyko jest ograniczone, ale exploit jest publicznie dostępny.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę zcaceres markdownify-mcp do najnowszej wersji po zaakceptowaniu pull requesta z poprawką. Do czasu wydania łatki zaleca się ograniczenie dostępu lokalnego do systemu.

Oryginalny opis (angielski, źródło NVD)

A flaw has been found in zcaceres markdownify-mcp up to 1.1.0. This impacts the function saveToTempFile of the file src/Markdownify.ts of the component webpage-to-markdown/youtube-to-markdown/bing-search-to-markdown. This manipulation causes insufficiently random values. The attack is restricted to local execution. A high degree of complexity is needed for the attack. The exploitability is said to be difficult. The exploit has been published and may be used. The pull request to fix this issue awaits acceptance.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS