プラットフォーム
nodejs
コンポーネント
@nor2/heim-mcp
修正版
0.1.1
0.1.2
0.1.3
0.1.4
0.1.4
Nor2-io heim-mcp のバージョン 0.1.0–0.1.3 に、OS コマンドインジェクションを引き起こす脆弱性が発見されました。この脆弱性は、src/tools.ts ファイルの registerTools 関数における操作によって悪用され、ローカルアクセスが必要です。この脆弱性を修正するためのパッチ c321d8af25f77668781e6ccb43a1336f9185df37 が公開されており、バージョン 0.1.4 にアップデートすることを推奨します。
Nor2-ioのheim-mcpライブラリにおいて、バージョン0.1.3まで脆弱性が確認されました。この脆弱性は、コンポーネントnewheimapplication/deployheimapplication/deployheimapplicationtocloud内のsrc/tools.tsファイルのregisterTools関数に存在します。ローカルアクセスを持つ攻撃者は、この脆弱性を悪用して任意のOSコマンドを実行し、データの機密性および完全性を損なう可能性があります。この脆弱性の深刻度はCVSS 5.3と評価されており、中程度のリスクを示しています。脆弱性の公表により、攻撃のリスクが高まる可能性があります。
この脆弱性の悪用には、影響を受けるシステムへのローカルアクセスが必要です。つまり、攻撃者は脆弱性を悪用する前に、システム上でコードを実行できる必要があります。脆弱性の公表により、攻撃者は脆弱性を悪用する方法に関する情報にアクセスできる可能性があり、標的型攻撃のリスクが高まります。影響を受けるシステムを監視し、不審な活動の兆候がないか確認することをお勧めします。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
この脆弱性に対処するため、heim-mcpをバージョン0.1.4以降にアップデートすることを強く推奨します。このバージョンには、c321d8af25f77668781e6ccb43a1336f9185df37というハッシュで識別されるパッチが含まれており、コマンドインジェクションの問題を修正しています。パッチを適用することが、この脅威から身を守るための最も効果的な方法です。ベンダーに連絡済みであり、必要に応じて追加情報と技術サポートを提供する予定です。インストール前にダウンロードしたパッチの整合性を確認してください。
Actualice a la versión 0.1.4 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la función registerTools en el archivo src/tools.ts, eliminando la posibilidad de ejecución de comandos arbitrarios.
脆弱性分析と重要アラートをメールでお届けします。
これは、脆弱なアプリケーションを介して、基盤となるオペレーティングシステム上で任意のコマンドを実行できる脆弱性です。
これは、攻撃者が影響を受けるシステム上で直接コードを実行できることを意味します。
更新版(0.1.4以降)は、Nor2-ioの公式リポジトリから入手できます。
すぐに更新できない場合は、追加のセキュリティ対策を講じ、ローカルアクセスを制限し、不審な活動を監視してください。
追加の技術サポートについては、ベンダーのNor2-ioにお問い合わせください。
CVSS ベクトル