CVE-2026-23744
KrytyczneStreszczenie
MCPJam inspector to platforma do lokalnego rozwoju dla serwerów MCP. Wersje 1.4.2 i wcześniejsze są podatne na zdalne wykonanie kodu (RCE), co pozwala atakującemu na wysłanie spreparowanego żądania HTTP, które uruchamia instalację serwera MCP, prowadząc do RCE.
Ocena ryzyka
Zagrożenie dla organizacji polega na możliwości zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad systemem. Domyślne nasłuchiwanie na adresie 0.0.0.0 zwiększa ryzyko, umożliwiając atak zdalny.
Rekomendacja
Zaleca się aktualizację do wersji 1.4.3, która zawiera poprawkę eliminującą tę podatność. Dodatkowo, warto ograniczyć nasłuchiwanie serwera do lokalnego adresu IP.
Oryginalny opis (angielski, źródło NVD)
MCPJam inspector is the local-first development platform for MCP servers. Versions 1.4.2 and earlier are vulnerable to remote code execution (RCE) vulnerability, which allows an attacker to send a crafted HTTP request that triggers the installation of an MCP server, leading to RCE. Since MCPJam inspector by default listens on 0.0.0.0 instead of 127.0.0.1, an attacker can trigger the RCE remotely via a simple HTTP request. Version 1.4.3 contains a patch.

