CVE-2026-53766
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 0 — wyżej niż 0% wszystkich znanych CVE
Streszczenie
Podatność w Chrome DevTools MCP (wersje 0.24.0 do 1.1.0) pozwala na obejście ograniczeń katalogów roboczych poprzez dowiązania symboliczne. Funkcja walidująca ścieżki nie normalizuje dowiązań symbolicznych, co umożliwia odczyt i zapis plików poza dozwolonym obszarem.
Ocena ryzyka
Atakujący może wykorzystać dowiązanie symboliczne w skonfigurowanym katalogu roboczym do odczytu wrażliwych plików systemowych lub nadpisania plików poza dozwolonym obszarem, co może prowadzić do wycieku danych lub eskalacji uprawnień.
Rekomendacja
Należy niezwłocznie zaktualizować Chrome DevTools MCP do wersji 1.1.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy unikać używania dowiązań symbolicznych w katalogach roboczych.
Oryginalny opis (angielski, źródło NVD)
Chrome DevTools for agents (chrome-devtools-mcp) lets your coding agent control and inspect a live Chrome browser. From 0.24.0 until 1.1.0, McpContext.validatePath() enforces workspace roots by checking whether path.resolve(filePath) textually falls under one of the configured root paths. path.resolve() does not canonicalize symbolic links. As a result, a symlink inside a configured workspace root can point to a file outside that root, pass validation, and then be followed by downstream file read/write operations. This bypass applies even when the MCP client correctly declares the roots capability with a non-empty list. It is separate from the documented legacy behavior where missing roots capability allows all paths. The practical impact is a workspace-boundary bypass. In the write direction, filePath-writing tools can overwrite out-of-root files through an in-root symlink. In the read direction, upload_file can read through the symlink and send the file to the currently selected web page. This vulnerability is fixed in 1.1.0.

