Описание
Уязвимость прокси-сервера mcp-remote связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
mcp-remote
Версия ПО
от 0.0.5 до 0.1.16 (mcp-remote)
Тип ПО
Сетевое программное средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,6)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://github.com/geelen/mcp-remote/commit/607b226a356cb61a239ffaba2fb3db1c9dea4bac
https://github.com/geelen/mcp-remote/releases/tag/v0.1.16
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 74%
0.00833
Низкий
9.6 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.6
nvd
7 месяцев назад
mcp-remote is exposed to OS command injection when connecting to untrusted MCP servers due to crafted input from the authorization_endpoint response URL
CVSS3: 9.6
github
7 месяцев назад
mcp-remote exposed to OS command injection via untrusted MCP server connections
EPSS
Процентиль: 74%
0.00833
Низкий
9.6 Critical
CVSS3
10 Critical
CVSS2