MEDIUMCVE-2026-5327CVSS 6.3

efforthye fast-filesystem-mcp index.ts の handleGetDiskUsage におけるコマンドインジェクション

プラットフォーム

nodejs

コンポーネント

fast-filesystem-mcp

修正版

3.5.1

3.5.2

3.5.1

AI Confidence: highNVDEPSS 1.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5327は、efforthye fast-filesystem-mcp 3.5.1までに存在するコマンドインジェクションの脆弱性です。src/index.tsのhandleGetDiskUsage関数に影響します。この脆弱性を悪用することで、リモートから任意のコマンドを実行される可能性があります。影響を受けるバージョンは3.5.0から3.5.1です。現在、公式な修正プログラムは提供されていません。

影響と攻撃シナリオ

fast-filesystem-mcpのバージョン3.5.1までの脆弱性が発見されました。この脆弱性は、ファイルsrc/index.ts内のhandleGetDiskUsage関数に存在します。リモートの攻撃者は、この関数の入力操作を操作することでこの欠陥を利用し、サーバー上で任意のコマンドを実行できるようになります。この脆弱性は、CVSSスケールで6.3と評価されています。エクスプロイトが公開されていることは、悪意のある攻撃者にとっての参入障壁を下げ、リスクを大幅に高めます。プロジェクトは問題に関するIssueレポートを通じて通知を受け取りましたが、まだ対応していません。これは懸念事項です。

悪用の状況

この脆弱性はリモートで悪用できるため、攻撃者は影響を受けたシステムへの物理的なアクセスを必要としません。handleGetDiskUsage関数は、ユーザー入力が適切に検証されていない場合、コマンドインジェクションに対して脆弱です。攻撃者は、入力に悪意のあるコマンドを含め、サーバー上で実行されるように操作する可能性があります。エクスプロイトの公開により、悪用が簡素化され、攻撃のリスクが高まります。プロジェクトの対応の遅れは状況を悪化させています。公式な修正はありません。

リスク対象者翻訳中…

Applications and services that rely on fast-filesystem-mcp versions 3.5.0 or earlier are at risk. This includes Node.js-based applications that utilize the library for file system management tasks. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially lead to the compromise of others.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep 'fast-filesystem-mcp' | grep -i 'handleGetDiskUsage'

• nodejs / server:

  npm list fast-filesystem-mcp

• generic web: Review access logs for requests containing suspicious parameters that might be used for command injection. • generic web: Check for unusual processes running with Node.js, particularly those related to file system operations.

攻撃タイムライン

2026-04-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

1.23% (79% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントfast-filesystem-mcp

ベンダーosv

影響範囲修正版

3.5.0 – 3.5.03.5.1

3.5.1 – 3.5.13.5.2

3.5.03.5.1

弱点分類 (CWE)

CWE-77 CWE-74

タイムライン

予約済み2026-04-01
公開日2026-04-02
更新日2026-04-04
EPSS 更新日2026-04-09

未パッチ — 公開から52日経過

緩和策と回避策

fast-filesystem-mcpの開発者からの公式な修正がないため、推奨される軽減策には、修正されたバージョンにすぐにアップグレードするか（リリースされている場合）、不要な場合はコンポーネントを削除することが含まれます。一時的な対策として、handleGetDiskUsage関数への入力の厳格な検証など、追加のセキュリティコントロールを実装することを検討してください。影響を受けたシステムの悪用兆候の監視が重要です。セキュリティアップデートに関する情報を入手するために、開発チームに連絡することを強くお勧めします。

修正方法翻訳中…

Actualizar el paquete fast-filesystem-mcp a una versión posterior a 3.5.1, si existe, que corrija la vulnerabilidad de inyección de comandos. Si no hay una versión corregida disponible, considerar deshabilitar o eliminar el paquete hasta que se publique una actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5327 とは何ですか？（fast-filesystem-mcp の Command Injection）

コマンドインジェクションにより、攻撃者はシステム上で任意のコマンドを実行でき、サーバーのセキュリティが損なわれる可能性があります。

fast-filesystem-mcp の CVE-2026-5327 による影響を受けていますか？

fast-filesystem-mcpのバージョンが3.5.1以前の場合は、システムが脆弱です。システムログを調べて疑わしいアクティビティがないか確認してください。

fast-filesystem-mcp の CVE-2026-5327 を修正するにはどうすればよいですか？

入力検証など、追加のセキュリティコントロールを実装し、システムを悪用兆候がないか監視してください。

CVE-2026-5327 は積極的に悪用されていますか？

fast-filesystem-mcpの開発チームに直接連絡してみてください。セキュリティフォーラムや脆弱性データベースでも情報を探すことができます。

CVE-2026-5327 に関する fast-filesystem-mcp の公式アドバイザリはどこで確認できますか？

現在、特定のツールはありませんが、一般的な脆弱性スキャンツールを使用して、コマンドインジェクションパターンを検索できます。