Plattform
nodejs
Komponente
@nor2/heim-mcp
Behoben in
0.1.1
0.1.2
0.1.3
0.1.4
0.1.4
CVE-2026-5602 is a Command Injection vulnerability discovered in the heim-mcp component of Nor2-io's newheimapplication. Successful exploitation allows an attacker with local access to execute arbitrary operating system commands, potentially leading to system compromise. This vulnerability affects versions 0.1.0 through 0.1.3 of heim-mcp. A patch (0.1.4) is available to resolve this issue.
Eine Command Injection-Schwachstelle wurde in der heim-mcp-Bibliothek von Nor2-io identifiziert, die Versionen bis einschließlich 0.1.3 betrifft. Die Schwachstelle befindet sich in der Funktion registerTools der Datei src/tools.ts innerhalb der Komponente newheimapplication/deployheimapplication/deployheimapplicationtocloud. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebige Betriebssystembefehle auszuführen, wodurch potenziell die Integrität und Vertraulichkeit von Daten gefährdet werden. Die Schwere dieser Schwachstelle wird mit CVSS 5.3 bewertet, was ein moderates Risiko anzeigt. Die öffentliche Offenlegung der Schwachstelle erhöht das Risiko einer Ausnutzung.
Die Ausnutzung dieser Schwachstelle erfordert lokalen Zugriff auf das betroffene System. Das bedeutet, dass ein Angreifer die Fähigkeit haben muss, Code auf dem System auszuführen, bevor er die Schwachstelle in registerTools ausnutzen kann. Die öffentliche Offenlegung der Schwachstelle bedeutet, dass Angreifer möglicherweise Zugriff auf Informationen darüber haben, wie sie diese ausnutzen können, was das Risiko gezielter Angriffe erhöht. Es wird empfohlen, betroffene Systeme auf Anzeichen verdächtiger Aktivitäten zu überwachen.
Exploit-Status
EPSS
0.08% (24% Perzentil)
CISA SSVC
CVSS-Vektor
Um diese Schwachstelle zu beheben, wird dringend empfohlen, auf Version 0.1.4 oder höher von heim-mcp zu aktualisieren. Diese Version enthält einen Patch, der durch den Hash c321d8af25f77668781e6ccb43a1336f9185df37 identifiziert wird, der das Command Injection-Problem behebt. Das Anwenden des Patches ist der effektivste Weg, um sich vor dieser Bedrohung zu schützen. Der Anbieter wurde kontaktiert und wird voraussichtlich weitere Informationen und technischen Support bereitstellen, falls erforderlich. Überprüfen Sie die Integrität des heruntergeladenen Patches vor der Installation.
Actualice a la versión 0.1.4 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la función registerTools en el archivo src/tools.ts, eliminando la posibilidad de ejecución de comandos arbitrarios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Schwachstelle, die es einem Angreifer ermöglicht, beliebige Befehle auf dem zugrunde liegenden Betriebssystem über eine anfällige Anwendung auszuführen.
Es bedeutet, dass der Angreifer die Fähigkeit haben muss, Code direkt auf dem betroffenen System auszuführen.
Die aktualisierte Version (0.1.4 oder höher) sollte im offiziellen Repository von Nor2-io verfügbar sein.
Wenn ein sofortiges Update nicht möglich ist, implementieren Sie zusätzliche Sicherheitsmaßnahmen, z. B. die Beschränkung des lokalen Zugriffs auf das System und die Überwachung auf verdächtige Aktivitäten.
Sie können sich an den Anbieter, Nor2-io, wenden, um zusätzlichen technischen Support zu erhalten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.