Plateforme
nodejs
Composant
mcp-server-taskwarrior
Corrigé dans
1.0.1
1.0.2
1.0.2
CVE-2026-5833 represents a Command Injection vulnerability discovered in the awwaiid mcp-server-taskwarrior component. This flaw allows an attacker to inject and execute arbitrary commands on the system, potentially leading to unauthorized access and control. The vulnerability affects versions of mcp-server-taskwarrior up to and including 1.0.1. A patch addressing this issue has been released, and upgrading to version 1.0.2 is recommended.
Une vulnérabilité d'injection de commandes a été identifiée dans awwaiid mcp-server-taskwarrior jusqu'à la version 1.0.1 (CVE-2026-5833). Cette vulnérabilité affecte la fonction server.setRequestHandler dans le fichier index.ts. Un attaquant local peut manipuler l'argument Identifier pour exécuter des commandes arbitraires sur le système. La sévérité de la vulnérabilité est notée 5.3 selon le CVSS. Le fait que l'exploitation soit possible localement et ait été rendue publique augmente le risque. Cette vulnérabilité pourrait permettre à un attaquant de compromettre l'intégrité du système et d'obtenir potentiellement un accès non autorisé à des données sensibles.
La vulnérabilité nécessite un accès local au système sur lequel awwaiid mcp-server-taskwarrior est en cours d'exécution. Un attaquant local pourrait exploiter la vulnérabilité en manipulant l'argument Identifier dans la fonction server.setRequestHandler. La divulgation publique de l'exploit signifie que les informations nécessaires pour exploiter la vulnérabilité sont disponibles pour un public plus large, ce qui augmente la probabilité d'attaques. La nature locale de l'exploitation limite le risque d'attaques distantes directes, mais constitue toujours une menace importante pour les systèmes ayant un accès local compromis.
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau vers la version 1.0.2 d'awwaiid mcp-server-taskwarrior. Cette version inclut une correction pour la vulnérabilité d'injection de commandes. Le correctif spécifique est 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2. Assurez-vous d'appliquer la mise à jour dès que possible pour atténuer le risque. De plus, examinez les configurations de sécurité et les autorisations d'accès afin de limiter l'impact potentiel en cas d'exploitation réussie. Le fournisseur a été contacté et a répondu, ce qui indique un engagement envers la sécurité.
Aplica la actualización a la versión 1.0.2 o superior para mitigar la vulnerabilidad de inyección de comandos. La actualización incluye una corrección en la función `server.setRequestHandler` que evita la manipulación del argumento `Identifier`. Consulta el commit `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2` para más detalles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour une vulnérabilité de sécurité dans awwaiid mcp-server-taskwarrior.
Elle permet l'exécution de commandes arbitraires sur le système si un accès local est obtenu.
Mettez à niveau vers la version 1.0.2 d'awwaiid mcp-server-taskwarrior.
Le correctif est 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2 et est inclus dans la version 1.0.2.
Oui, le fournisseur a été contacté et a répondu.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.