प्लेटफ़ॉर्म
nodejs
घटक
codebase-mcp
में ठीक किया गया
3.0.1
CVE-2026-5023, DeDeveloper23 codebase-mcp में पाई गई एक कमांड इंजेक्शन भेद्यता है। इस भेद्यता का फायदा उठाकर, एक स्थानीय हमलावर ऑपरेटिंग सिस्टम कमांड इंजेक्ट कर सकता है। यह भेद्यता codebase-mcp के ≤3ec749d237dd8eabbeef48657cf917275792fde6 संस्करणों को प्रभावित करती है। वर्तमान में, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
DeDeveloper23 codebase-mcp में एक कमांड इंजेक्शन भेद्यता (vulnerability) की पहचान की गई है, विशेष रूप से getCodebase/getRemoteCodebase/saveCodebase फ़ंक्शन (RepoMix Command Handler घटक के भीतर src/tools/codebase.ts फ़ाइल में) के भीतर। प्रभावित संस्करण 3ec749d237dd8eabbeef48657cf917275792fde6 से पहले के हैं। यह भेद्यता एक हमलावर को एप्लिकेशन चल रहे सिस्टम पर मनमाना ऑपरेटिंग सिस्टम (OS) कमांड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम डेटा और संसाधनों की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। भेद्यता की प्रकृति के कारण, हमले को स्थानीय रूप से किया जाना चाहिए, जिसका अर्थ है कि सिस्टम तक पहुंच रखने वाला उपयोगकर्ता इस भेद्यता का फायदा उठा सकता है। भेद्यता का सार्वजनिक प्रकटीकरण शोषण के जोखिम को बढ़ाता है।
भेद्यता का फायदा getCodebase/getRemoteCodebase/saveCodebase फ़ंक्शन को प्रदान किए गए इनपुट में हेरफेर करके उठाया जाता है। यह हेरफेर ऑपरेटिंग सिस्टम कमांड के इंजेक्शन की अनुमति देता है, जिसे तब एप्लिकेशन प्रक्रिया के विशेषाधिकारों के साथ निष्पादित किया जाता है। शोषण के लिए स्थानीय पहुंच की आवश्यकता होने के कारण, एक हमलावर को codebase-mcp चल रहे सिस्टम के साथ सीधे इंटरैक्ट करने में सक्षम होना चाहिए। भेद्यता का सार्वजनिक प्रकटीकरण का मतलब है कि हमलावरों के पास इस भेद्यता का फायदा उठाने के तरीके के बारे में जानकारी हो सकती है, जिससे लक्षित हमलों का जोखिम बढ़ जाता है। विशिष्ट फिक्स की कमी नवीनतम संस्करण में अपडेट करना और भी महत्वपूर्ण बना देती है।
Development teams using codebase-mcp within their Node.js applications are at risk. Specifically, those deploying applications with local access to the codebase-mcp component, or those with inadequate access controls, are particularly vulnerable. Environments where local user accounts have elevated privileges are also at increased risk.
• nodejs / server:
ps aux | grep codebase-mcp• nodejs / server:
journalctl -u codebase-mcp -f | grep -i "command injection"• generic web:
curl -I http://your-server/getCodebase/getRemoteCodebase/saveCodebase | grep -i "command injection"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.51% (66% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि codebase-mcp निरंतर डिलीवरी (rolling release) मॉडल का उपयोग करता है, इसलिए अनुशंसित समाधान नवीनतम उपलब्ध संस्करण में अपडेट करना है। अपडेट यह सुनिश्चित करता है कि नवीनतम सुरक्षा पैच लागू किए गए हैं। हालांकि CVE रिपोर्ट में कोई विशिष्ट फिक्स प्रदान नहीं किया गया है, लेकिन रोलिंग रिलीज प्रक्रिया अपडेट लागू होने पर भेद्यता को कम कर देनी चाहिए। नवीनतम अपडेट की निगरानी करना और वे उपलब्ध होने पर नवीनतम संस्करणों को लागू करना महत्वपूर्ण है। इसके अतिरिक्त, स्थानीय एक्सेस कंट्रोल नीतियों की समीक्षा और मजबूत करें ताकि आंतरिक उपयोगकर्ताओं द्वारा शोषण के जोखिम को सीमित किया जा सके।
Actualizar el paquete codebase-mcp a una versión posterior a 3ec749d237dd8eabbeef48657cf917275792fde6, si estuviera disponible. De lo contrario, se recomienda revisar y corregir el código fuente en src/tools/codebase.ts, específicamente las funciones getCodebase/getRemoteCodebase/saveCodebase, para evitar la inyección de comandos del sistema operativo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
रोलिंग रिलीज़ मॉडल का मतलब है कि अपडेट को बड़े, अलग-अलग संस्करणों के बजाय नियमित रूप से और लगातार जारी किया जाता है। यह सुरक्षा पैच की तेज़ डिलीवरी की अनुमति देता है।
यदि आप codebase-mcp के 3ec749d237dd8eabbeef48657cf917275792fde6 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो सख्त एक्सेस नियंत्रण लागू करने और शोषण के संकेतों के लिए सिस्टम गतिविधि की निगरानी करने पर विचार करें।
नहीं, शोषण के लिए सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है।
आप CVE-2026-5023 में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।