Plattform
nodejs
Komponente
codebase-mcp
Behoben in
3.0.1
CVE-2026-5023 represents a Command Injection vulnerability discovered within the codebase-mcp component of DeDeveloper23. Successful exploitation allows for the execution of arbitrary operating system commands, potentially leading to unauthorized access and system compromise. This vulnerability impacts versions of codebase-mcp up to commit hash 3ec749d237dd8eabbeef48657cf917275792fde6. Due to the rolling release model, specific version information is unavailable, and the project has been notified.
Eine Command Injection-Schwachstelle wurde in DeDeveloper23 codebase-mcp identifiziert, insbesondere in den Funktionen getCodebase/getRemoteCodebase/saveCodebase der Datei src/tools/codebase.ts innerhalb der Komponente RepoMix Command Handler. Betroffene Versionen sind alle vor dem Commit 3ec749d237dd8eabbeef48657cf917275792fde6. Diese Schwachstelle ermöglicht es einem Angreifer, beliebige Betriebssystembefehle (OS) auf dem System auszuführen, auf dem die Anwendung läuft, wodurch potenziell die Vertraulichkeit, Integrität und Verfügbarkeit von Systemdaten und -ressourcen gefährdet werden. Die Art der Schwachstelle erfordert, dass der Angriff lokal durchgeführt wird, was bedeutet, dass ein Benutzer mit Zugriff auf das System diese ausnutzen kann. Die öffentliche Offenlegung der Schwachstelle erhöht das Risiko einer Ausnutzung.
Die Schwachstelle wird ausgenutzt, indem die Eingabe manipuliert wird, die den Funktionen getCodebase/getRemoteCodebase/saveCodebase bereitgestellt wird. Diese Manipulation ermöglicht die Injektion von Betriebssystembefehlen, die dann mit den Berechtigungen des Anwendungsprozesses ausgeführt werden. Da für die Ausnutzung lokaler Zugriff erforderlich ist, muss ein Angreifer in der Lage sein, direkt mit dem System zu interagieren, auf dem codebase-mcp ausgeführt wird. Die öffentliche Offenlegung der Schwachstelle bedeutet, dass Angreifer möglicherweise Zugriff auf Informationen darüber haben, wie sie diese ausnutzen können, was das Risiko gezielter Angriffe erhöht. Das Fehlen einer spezifischen Lösung (Fix) macht ein Update auf die neueste Version noch kritischer.
Development teams using codebase-mcp within their Node.js applications are at risk. Specifically, those deploying applications with local access to the codebase-mcp component, or those with inadequate access controls, are particularly vulnerable. Environments where local user accounts have elevated privileges are also at increased risk.
• nodejs / server:
ps aux | grep codebase-mcp• nodejs / server:
journalctl -u codebase-mcp -f | grep -i "command injection"• generic web:
curl -I http://your-server/getCodebase/getRemoteCodebase/saveCodebase | grep -i "command injection"disclosure
Exploit-Status
EPSS
0.51% (66% Perzentil)
CISA SSVC
CVSS-Vektor
Aufgrund des Rolling-Release-Modells von codebase-mcp für die kontinuierliche Bereitstellung ist die empfohlene Lösung, auf die neueste verfügbare Version zu aktualisieren. Ein Update stellt sicher, dass die neuesten Sicherheitspatches angewendet werden. Obwohl im CVE-Bericht keine spezifische Lösung (Fix) angegeben wurde, sollte der Rolling-Release-Prozess die Schwachstelle mindern, während Updates implementiert werden. Es ist entscheidend, Updates zu überwachen und die neuesten Versionen so bald wie möglich anzuwenden. Darüber hinaus sollten lokale Zugriffskontrollrichtlinien überprüft und verstärkt werden, um das Risiko einer Ausnutzung durch interne Benutzer zu minimieren.
Actualizar el paquete codebase-mcp a una versión posterior a 3ec749d237dd8eabbeef48657cf917275792fde6, si estuviera disponible. De lo contrario, se recomienda revisar y corregir el código fuente en src/tools/codebase.ts, específicamente las funciones getCodebase/getRemoteCodebase/saveCodebase, para evitar la inyección de comandos del sistema operativo.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein Rolling-Release-Modell bedeutet, dass Updates regelmäßig und kontinuierlich veröffentlicht werden, anstatt größere, separate Versionen. Dies ermöglicht eine schnellere Bereitstellung von Sicherheitspatches.
Wenn Sie eine Version von codebase-mcp vor 3ec749d237dd8eabbeef48657cf917275792fde6 verwenden, sind Sie betroffen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie strengere Zugriffskontrollen implementieren und die Systemaktivität auf Anzeichen einer Ausnutzung überwachen.
Nein, für die Ausnutzung ist lokaler Zugriff auf das System erforderlich.
Sie finden weitere Informationen in CVE-2026-5023.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.