Описание
mcp-remote exposed to OS command injection via untrusted MCP server connections
mcp-remote is exposed to OS command injection when connecting to untrusted MCP servers due to crafted input from the authorization_endpoint response URL
Ссылки
Пакеты
Наименование
mcp-remote
npm
Затронутые версииВерсия исправления
>= 0.0.5, < 0.1.16
0.1.16
Связанные уязвимости
CVSS3: 9.6
nvd
7 месяцев назад
mcp-remote is exposed to OS command injection when connecting to untrusted MCP servers due to crafted input from the authorization_endpoint response URL
CVSS3: 9.6
fstec
8 месяцев назад
Уязвимость прокси-сервера mcp-remote, связанная с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольные команды