Plateforme
nodejs
Composant
codebase-mcp
Corrigé dans
3.0.1
La vulnérabilité CVE-2026-5023 est une faille d'injection de commande affectant codebase-mcp. Elle permet l'exécution de commandes système non autorisées, compromettant potentiellement la sécurité du système. Cette vulnérabilité touche les versions jusqu'à 3ec749d237dd8eabbeef48657cf917275792fde6. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité d'injection de commandes système d'exploitation (OS) a été identifiée dans DeDeveloper23 codebase-mcp, spécifiquement au sein des fonctions getCodebase/getRemoteCodebase/saveCodebase du fichier src/tools/codebase.ts au sein du composant RepoMix Command Handler. Les versions affectées sont celles antérieures au commit 3ec749d237dd8eabbeef48657cf917275792fde6. Cette vulnérabilité permet à un attaquant d'exécuter des commandes système d'exploitation arbitraires sur le système où l'application est en cours d'exécution, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données et des ressources du système. La nature de la vulnérabilité exige que l'attaque soit effectuée localement, ce qui signifie qu'un utilisateur ayant accès au système peut l'exploiter. La divulgation publique de la vulnérabilité augmente le risque d'exploitation.
La vulnérabilité est exploitée en manipulant l'entrée fournie aux fonctions getCodebase/getRemoteCodebase/saveCodebase. Cette manipulation permet l'injection de commandes système d'exploitation, qui sont ensuite exécutées avec les privilèges du processus de l'application. Étant donné que l'exploitation nécessite un accès local, un attaquant doit avoir la possibilité d'interagir directement avec le système où codebase-mcp est en cours d'exécution. La divulgation publique de la vulnérabilité signifie que les attaquants peuvent avoir accès à des informations sur la façon de l'exploiter, ce qui augmente le risque d'attaques ciblées. L'absence d'une solution spécifique (fix) rend la mise à jour vers la dernière version encore plus critique.
Development teams using codebase-mcp within their Node.js applications are at risk. Specifically, those deploying applications with local access to the codebase-mcp component, or those with inadequate access controls, are particularly vulnerable. Environments where local user accounts have elevated privileges are also at increased risk.
• nodejs / server:
ps aux | grep codebase-mcp• nodejs / server:
journalctl -u codebase-mcp -f | grep -i "command injection"• generic web:
curl -I http://your-server/getCodebase/getRemoteCodebase/saveCodebase | grep -i "command injection"disclosure
Statut de l'Exploit
EPSS
0.51% (percentile 66%)
CISA SSVC
Vecteur CVSS
En raison du modèle de publication continue (rolling release) de codebase-mcp pour la livraison continue, la solution recommandée est de mettre à jour vers la dernière version disponible. La mise à jour garantit que les derniers correctifs de sécurité sont appliqués. Bien qu'aucune solution spécifique (fix) n'ait été fournie dans le rapport CVE, le processus de publication continue devrait atténuer la vulnérabilité au fur et à mesure que les mises à jour sont implémentées. Il est essentiel de surveiller les mises à jour et d'appliquer les dernières versions dès qu'elles sont disponibles. De plus, examinez et renforcez les politiques de contrôle d'accès local pour limiter le risque d'exploitation par les utilisateurs internes.
Actualizar el paquete codebase-mcp a una versión posterior a 3ec749d237dd8eabbeef48657cf917275792fde6, si estuviera disponible. De lo contrario, se recomienda revisar y corregir el código fuente en src/tools/codebase.ts, específicamente las funciones getCodebase/getRemoteCodebase/saveCodebase, para evitar la inyección de comandos del sistema operativo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un modèle de publication continue signifie que les mises à jour sont publiées régulièrement et en continu, plutôt que des versions plus importantes et séparées. Cela permet une livraison plus rapide des correctifs de sécurité.
Si vous utilisez une version de codebase-mcp antérieure à 3ec749d237dd8eabbeef48657cf917275792fde6, vous êtes vulnérable.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des contrôles d'accès plus stricts et de surveiller l'activité du système à la recherche de signes d'exploitation.
Non, l'exploitation nécessite un accès local au système.
Vous pouvez trouver plus d'informations dans CVE-2026-5023.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.