isaacwasserman mcp-vegalite-server visualize_data eval कोड इंजेक्शन
प्लेटफ़ॉर्म
nodejs
घटक
mcp-vegalite-server
में ठीक किया गया
16.0.1
CVE-2026-1977 describes a code injection vulnerability discovered in the isaacwasserman mcp-vegalite-server component. This flaw allows remote attackers to inject arbitrary code by manipulating the vegalitespecification argument within the eval function of the visualizedata component. The vulnerability affects versions of mcp-vegalite-server up to commit hash 16aefed598b8cd897b78e99b907f6e2984572c61. Due to the project's rolling release system, a specific fixed version is not yet available.
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
Successful exploitation of CVE-2026-1977 enables an attacker to execute arbitrary code on the server hosting the mcp-vegalite-server component. This could lead to complete system compromise, including data exfiltration, denial of service, and further malicious activity. The ability to inject code remotely significantly expands the attack surface, potentially impacting any user or system interacting with the vulnerable server. Given the code injection nature, the blast radius could extend to other services or data accessible from the compromised server, depending on the server's configuration and permissions.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2026-1977 has been publicly disclosed and a proof-of-concept exploit is available, indicating a high likelihood of exploitation. The vulnerability was published on 2026-02-06. It is not currently listed on CISA KEV, and an EPSS score is pending evaluation. Active campaigns targeting this vulnerability are currently unknown, but the public availability of a PoC suggests potential for opportunistic exploitation.
कौन जोखिम में हैअनुवाद हो रहा है…
Organizations utilizing mcp-vegalite-server in production environments, particularly those with exposed endpoints or lacking robust input validation, are at significant risk. Systems with older, unpatched versions of Node.js running mcp-vegalite-server are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted if one user's instance is compromised.
पहचान के चरणअनुवाद हो रहा है…
• nodejs / server:
ps aux | grep mcp-vegalite-server• nodejs / server:
journalctl -u mcp-vegalite-server -f | grep -i "eval"• generic web:
curl -I http://your-server/vegalite/data | grep -i "Content-Type"हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
- User Interaction
- कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- निम्न — कुछ डेटा तक आंशिक पहुंच।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
Due to the rolling release nature of mcp-vegalite-server, a specific patched version is not yet available. The project recommends closely monitoring their release channels for updates. As a temporary workaround, implement strict input validation on the vegalite_specification argument to sanitize any potentially malicious code. Consider deploying a Web Application Firewall (WAF) with rules to detect and block code injection attempts targeting the eval function. Regularly review and update server configurations to minimize potential attack vectors and limit the privileges of the mcp-vegalite-server process. After applying any mitigations, verify their effectiveness by attempting to reproduce the vulnerability with a safe test payload.
कैसे ठीक करें
mcp-vegalite-server पैकेज को एक ठीक किए गए संस्करण में अपडेट करें। दुर्भाग्य से, कोई विशिष्ट ठीक किया गया संस्करण उपलब्ध नहीं है, इसलिए एक अपडेट किए गए संस्करण की तलाश करने या समाधान के लिए परियोजना के रखरखावकर्ता से संपर्क करने की सिफारिश की जाती है।
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2026-1977 — Code Injection in mcp-vegalite-server?
CVE-2026-1977 is a medium severity code injection vulnerability affecting mcp-vegalite-server versions up to 16aefed598b8cd897b78e99b907f6e2984572c61. It allows remote attackers to inject code via the vegalite_specification argument.
Am I affected by CVE-2026-1977 in mcp-vegalite-server?
If you are using mcp-vegalite-server versions prior to the rolling release update, you are potentially affected. Check your commit hash against the affected range (≤16aefed598b8cd897b78e99b907f6e2984572c61).
How do I fix CVE-2026-1977 in mcp-vegalite-server?
Due to the rolling release system, a specific fixed version is not yet available. Monitor the project's release channels for updates and implement input validation as a temporary mitigation.
Is CVE-2026-1977 being actively exploited?
A public proof-of-concept exploit is available, suggesting a potential for active exploitation. Monitor your systems for suspicious activity.
Where can I find the official mcp-vegalite-server advisory for CVE-2026-1977?
Refer to the isaacwasserman project's official release notes and communication channels for updates regarding CVE-2026-1977.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।