प्लेटफ़ॉर्म
nodejs
घटक
fast-filesystem-mcp
में ठीक किया गया
3.5.1
3.5.2
3.5.1
CVE-2026-5327, fast-filesystem-mcp में एक कमांड इंजेक्शन भेद्यता है, जो 3.5.1 तक के संस्करणों को प्रभावित करती है। इस भेद्यता का फायदा उठाकर रिमोट हमलावर कमांड इंजेक्शन कर सकते हैं। यह भेद्यता src/index.ts फ़ाइल के handleGetDiskUsage फ़ंक्शन में मौजूद है। वर्तमान में, इस समस्या को ठीक करने के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
fast-filesystem-mcp के संस्करण 3.5.1 और उससे पहले में एक कमांड इंजेक्शन भेद्यता (vulnerability) खोजी गई है। यह भेद्यता फ़ाइल src/index.ts में handleGetDiskUsage फ़ंक्शन के भीतर मौजूद है। एक दूरस्थ हमलावर इस फ़ंक्शन के इनपुट को हेरफेर करके इस दोष का फायदा उठा सकता है, जिससे सर्वर पर मनमाना कमांड निष्पादित किया जा सकता है। इस भेद्यता को CVSS पैमाने पर 6.3 के रूप में रेट किया गया है। एक शोषण (exploit) की सार्वजनिक उपलब्धता जोखिम को काफी बढ़ा देती है, क्योंकि यह दुर्भावनापूर्ण अभिनेताओं के लिए प्रवेश बाधा को कम करती है। परियोजना को एक मुद्दे की रिपोर्ट के माध्यम से इस मुद्दे के बारे में सूचित किया गया था, लेकिन अभी तक प्रतिक्रिया नहीं दी गई है, जो चिंताजनक है।
इस भेद्यता का दूरस्थ रूप से फायदा उठाया जा सकता है, जिसका अर्थ है कि हमलावर को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। यदि उपयोगकर्ता इनपुट को ठीक से मान्य नहीं किया जाता है, तो handleGetDiskUsage फ़ंक्शन कमांड इंजेक्शन के लिए असुरक्षित है। एक हमलावर इनपुट को हेरफेर कर सकता है ताकि सर्वर पर निष्पादित किए जाने वाले दुर्भावनापूर्ण कमांड शामिल हों। शोषण की सार्वजनिक उपलब्धता शोषण को सरल बनाती है, जिससे हमलों का खतरा बढ़ जाता है। परियोजना की प्रतिक्रिया की कमी स्थिति को बढ़ा देती है, क्योंकि कोई आधिकारिक फिक्स उपलब्ध नहीं है।
Applications and services that rely on fast-filesystem-mcp versions 3.5.0 or earlier are at risk. This includes Node.js-based applications that utilize the library for file system management tasks. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially lead to the compromise of others.
• nodejs / server:
ps aux | grep 'fast-filesystem-mcp' | grep -i 'handleGetDiskUsage'• nodejs / server:
npm list fast-filesystem-mcp• generic web: Review access logs for requests containing suspicious parameters that might be used for command injection. • generic web: Check for unusual processes running with Node.js, particularly those related to file system operations.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.23% (79% शतमक)
CISA SSVC
CVSS वेक्टर
fast-filesystem-mcp डेवलपर्स से आधिकारिक फिक्स की कमी को देखते हुए, अनुशंसित शमन उपायों में एक पैच किए गए संस्करण में तुरंत अपग्रेड करना (यदि जारी किया गया है) या यदि यह आवश्यक नहीं है तो घटक को हटाना शामिल है। एक अस्थायी उपाय के रूप में, handleGetDiskUsage फ़ंक्शन के लिए इनपुट सत्यापन जैसे अतिरिक्त सुरक्षा नियंत्रणों को लागू करने पर विचार करें ताकि कमांड इंजेक्शन को रोका जा सके। प्रभावित प्रणालियों की शोषण के संकेतों के लिए निगरानी करना महत्वपूर्ण है। हम सुरक्षा अपडेट के बारे में जानकारी प्राप्त करने के लिए विकास टीम से संपर्क करने की दृढ़ता से सलाह देते हैं।
Actualizar el paquete fast-filesystem-mcp a una versión posterior a 3.5.1, si existe, que corrija la vulnerabilidad de inyección de comandos. Si no hay una versión corregida disponible, considerar deshabilitar o eliminar el paquete hasta que se publique una actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
'कमांड इंजेक्शन' एक हमलावर को सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देता है, जिससे संभावित रूप से सर्वर की सुरक्षा से समझौता हो सकता है।
यदि आप fast-filesystem-mcp के संस्करण 3.5.1 या उससे पहले का उपयोग कर रहे हैं, तो आपकी प्रणाली कमजोर है। संदिग्ध गतिविधि के लिए सिस्टम लॉग की जांच करें।
अतिरिक्त सुरक्षा नियंत्रण लागू करें, जैसे इनपुट सत्यापन, और शोषण के संकेतों के लिए अपनी प्रणाली की निगरानी करें।
fast-filesystem-mcp विकास टीम से सीधे संपर्क करने का प्रयास करें। आप सुरक्षा मंचों और भेद्यता डेटाबेस में भी जानकारी पा सकते हैं।
वर्तमान में कोई विशिष्ट उपकरण उपलब्ध नहीं है, लेकिन आप कमांड इंजेक्शन पैटर्न की तलाश में सामान्य भेद्यता स्कैनिंग टूल का उपयोग कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।