प्लेटफ़ॉर्म
nodejs
घटक
mcp-server-taskwarrior
में ठीक किया गया
1.0.1
1.0.2
1.0.2
CVE-2026-5833 represents a Command Injection vulnerability discovered in the awwaiid mcp-server-taskwarrior component. This flaw allows an attacker to inject and execute arbitrary commands on the system, potentially leading to unauthorized access and control. The vulnerability affects versions of mcp-server-taskwarrior up to and including 1.0.1. A patch addressing this issue has been released, and upgrading to version 1.0.2 is recommended.
awwaiid mcp-server-taskwarrior के संस्करण 1.0.1 तक एक कमांड इंजेक्शन भेद्यता (CVE-2026-5833) की पहचान की गई है। यह भेद्यता फ़ाइल index.ts में server.setRequestHandler फ़ंक्शन को प्रभावित करती है। एक स्थानीय हमलावर Identifier तर्क को हेरफेर करके सिस्टम पर मनमाना कमांड निष्पादित कर सकता है। CVSS के अनुसार इस भेद्यता की गंभीरता को 5.3 के रूप में रेट किया गया है। भेद्यता का स्थानीय रूप से शोषण किया जा सकता है और इसे सार्वजनिक रूप से खुलासा किया गया है, जिससे जोखिम बढ़ जाता है। यह भेद्यता एक हमलावर को सिस्टम की अखंडता से समझौता करने और संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है।
इस भेद्यता के लिए awwaiid mcp-server-taskwarrior चल रहे सिस्टम तक स्थानीय पहुंच की आवश्यकता होती है। एक स्थानीय हमलावर server.setRequestHandler फ़ंक्शन में Identifier तर्क को हेरफेर करके इस भेद्यता का शोषण कर सकता है। शोषण का सार्वजनिक खुलासा करने का मतलब है कि इस भेद्यता का शोषण करने के लिए आवश्यक जानकारी व्यापक दर्शकों के लिए उपलब्ध है, जिससे हमलों की संभावना बढ़ जाती है। शोषण की स्थानीय प्रकृति प्रत्यक्ष रिमोट हमलों के जोखिम को सीमित करती है, लेकिन अभी भी स्थानीय पहुंच से समझौता किए गए सिस्टम के लिए एक महत्वपूर्ण खतरा बनी हुई है।
एक्सप्लॉइट स्थिति
EPSS
0.30% (53% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान awwaiid mcp-server-taskwarrior को संस्करण 1.0.2 में अपग्रेड करना है। इस संस्करण में कमांड इंजेक्शन भेद्यता के लिए एक फिक्स शामिल है। विशिष्ट पैच 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2 है। जोखिम को कम करने के लिए जल्द से जल्द अपडेट लागू करना सुनिश्चित करें। इसके अतिरिक्त, सफल शोषण की स्थिति में संभावित प्रभाव को सीमित करने के लिए सुरक्षा कॉन्फ़िगरेशन और एक्सेस अनुमतियों की समीक्षा करें। विक्रेता से संपर्क किया गया है और उसने जवाब दिया है, जो सुरक्षा के प्रति प्रतिबद्धता को दर्शाता है।
Aplica la actualización a la versión 1.0.2 o superior para mitigar la vulnerabilidad de inyección de comandos. La actualización incluye una corrección en la función `server.setRequestHandler` que evita la manipulación del argumento `Identifier`. Consulta el commit `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2` para más detalles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह awwaiid mcp-server-taskwarrior में सुरक्षा भेद्यता के लिए एक अनूठा पहचानकर्ता है।
यदि स्थानीय पहुंच प्राप्त होती है, तो यह सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देता है।
awwaiid mcp-server-taskwarrior को संस्करण 1.0.2 में अपग्रेड करें।
पैच 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2 है और संस्करण 1.0.2 में शामिल है।
हाँ, विक्रेता से संपर्क किया गया है और उसने जवाब दिया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।