Plattform
nodejs
Komponente
mcp-server-taskwarrior
Behoben in
1.0.1
1.0.2
1.0.2
CVE-2026-5833 represents a Command Injection vulnerability discovered in the awwaiid mcp-server-taskwarrior component. This flaw allows an attacker to inject and execute arbitrary commands on the system, potentially leading to unauthorized access and control. The vulnerability affects versions of mcp-server-taskwarrior up to and including 1.0.1. A patch addressing this issue has been released, and upgrading to version 1.0.2 is recommended.
Eine Command-Injection-Schwachstelle wurde in awwaiid mcp-server-taskwarrior bis zur Version 1.0.1 (CVE-2026-5833) identifiziert. Diese Schwachstelle betrifft die Funktion server.setRequestHandler in der Datei index.ts. Ein lokaler Angreifer kann das Argument Identifier manipulieren, um beliebige Befehle auf dem System auszuführen. Die Schwere der Schwachstelle wird gemäß CVSS mit 5.3 bewertet. Die Tatsache, dass die Ausnutzung lokal möglich ist und öffentlich bekannt gegeben wurde, erhöht das Risiko. Diese Schwachstelle könnte es einem Angreifer ermöglichen, die Systemintegrität zu gefährden und potenziell unbefugten Zugriff auf sensible Daten zu erhalten.
Die Schwachstelle erfordert lokalen Zugriff auf das System, auf dem awwaiid mcp-server-taskwarrior ausgeführt wird. Ein lokaler Angreifer könnte die Schwachstelle ausnutzen, indem er das Argument Identifier in der Funktion server.setRequestHandler manipuliert. Die öffentliche Bekanntgabe des Exploits bedeutet, dass die zur Ausnutzung der Schwachstelle notwendigen Informationen einer breiteren Öffentlichkeit zur Verfügung stehen, was die Wahrscheinlichkeit von Angriffen erhöht. Die lokale Natur der Ausnutzung begrenzt das Risiko von direkten Remote-Angriffen, stellt aber dennoch eine erhebliche Bedrohung für Systeme mit kompromittiertem lokalen Zugriff dar.
Exploit-Status
EPSS
0.30% (53% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Upgrade auf Version 1.0.2 von awwaiid mcp-server-taskwarrior. Diese Version enthält eine Korrektur für die Command-Injection-Schwachstelle. Der spezifische Patch ist 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2. Stellen Sie sicher, dass Sie das Update so schnell wie möglich anwenden, um das Risiko zu mindern. Überprüfen Sie außerdem Sicherheitseinstellungen und Zugriffsberechtigungen, um potenzielle Auswirkungen bei erfolgreicher Ausnutzung zu begrenzen. Der Anbieter wurde kontaktiert und hat geantwortet, was ein Bekenntnis zur Sicherheit signalisiert.
Aplica la actualización a la versión 1.0.2 o superior para mitigar la vulnerabilidad de inyección de comandos. La actualización incluye una corrección en la función `server.setRequestHandler` que evita la manipulación del argumento `Identifier`. Consulta el commit `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2` para más detalles.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein eindeutiger Identifikator für eine Sicherheitslücke in awwaiid mcp-server-taskwarrior.
Sie ermöglicht die Ausführung beliebiger Befehle auf dem System, wenn lokaler Zugriff erlangt wird.
Aktualisieren Sie auf Version 1.0.2 von awwaiid mcp-server-taskwarrior.
Der Patch ist 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2 und ist in Version 1.0.2 enthalten.
Ja, der Anbieter wurde kontaktiert und hat geantwortet.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.