UNKNOWNCVE-2026-5023
CVE-2026-5023: codebase-mcp コマンドインジェクション脆弱性 (v3ec749d237)
プラットフォーム
nodejs
コンポーネント
codebase-mcp
CVE-2026-5023 は、codebase-mcp に存在するコマンドインジェクションの脆弱性です。この脆弱性は、src/tools/codebase.ts ファイル内の getCodebase/getRemoteCodebase/saveCodebase 関数に影響を与えます。RepoMix Command Handler の操作が原因で、攻撃者は任意のコマンドを実行できる可能性があります。影響を受けるバージョンは ≤3ec749d237dd8eabbeef48657cf917275792fde6 です。現時点では公式な修正パッチは提供されていません。
修正方法
codebase-mcp パッケージを、3ec749d237dd8eabbeef48657cf917275792fde6 以降のバージョンにアップデートしてください。利用可能なバージョンがない場合は、ソースコードを確認し、OSコマンドインジェクションを防ぐために必要な修正を適用することをお勧めします。
よくある質問
CVE-2026-5023 とは何ですか?
CVE-2026-5023 は、codebase-mcp に存在するコマンドインジェクションの脆弱性で、攻撃者が任意のコマンドを実行できる可能性があります。
影響を受ける可能性はありますか?
codebase-mcp のバージョンが ≤3ec749d237dd8eabbeef48657cf917275792fde6 の場合、この脆弱性の影響を受ける可能性があります。
どのように対策すれば良いですか?
現時点では公式な修正パッチは提供されていません。codebase-mcp の利用を一時的に停止するか、代替手段を検討してください。