elgentos magento2-dev-mcp index.ts executeMagerun2Command os コマンドインジェクション

elgentosのmagento2-dev-mcp拡張機能において、バージョン1.0.2まで脆弱性が確認されました。この脆弱性は、ファイルsrc/index.ts内のexecuteMagerun2Command関数に存在するオペレーティングシステムコマンドインジェクション（OS）の脆弱性です。ローカルの攻撃者は、この脆弱性を悪用してサーバー上で任意のコマンドを実行し、データ機密性と整合性を損なう可能性があります。公開されているエクスプロイトの存在はリスクを大幅に高めます。なぜなら、悪意のある攻撃者が脆弱性を悪用しやすくなるからです。CVSSによると、この脆弱性の深刻度は5.3と評価されています。このリスクを軽減するためには、提供されたパッチを適用することが不可欠です。

Development teams using elgentos magento2-dev-mcp in their Magento 2 projects are at significant risk. Environments with developers having direct shell access to the server are particularly vulnerable. Shared hosting environments where multiple users share the same server instance also face increased risk, as a compromised user account could potentially exploit this vulnerability.

• nodejs: Monitor process execution for suspicious commands invoked by the @elgentos/magento2-dev-mcp package.

ps aux | grep '@elgentos/magento2-dev-mcp' | grep -i 'command injection'

• linux / server: Examine system logs for evidence of command execution attempts originating from the application.

journalctl -u magento2-dev-mcp -g 'command injection'

• generic web: Inspect access logs for unusual requests targeting the src/index.ts file, particularly those containing shell metacharacters.

grep -i 'command injection' /var/log/apache2/access.log

1. 2026-04-06Disclosure

   disclosure

2. 2026-04-06PoC

   poc

3. 2026-04-06Patch

   patch

1. 予約済み2026-04-05
2. 公開日2026-04-06
3. EPSS 更新日2026-04-13

この脆弱性に対処するための推奨される解決策は、ハッシュaa1ffcc0aea1b212c69787391783af27df15ae9dで識別されるパッチを適用することです。このパッチは、executeMagerun2Command関数内のオペレーティングシステムコマンドインジェクション脆弱性を修正します。できるだけ早くmagento2-dev-mcp拡張機能を修正されたバージョンに更新することを強くお勧めします。さらに、Magentoサーバーのセキュリティ構成を確認して、ベストプラクティスが実装され、攻撃対象領域が最小限に抑えられていることを確認してください。サーバーログを不審なアクティビティがないか監視することも重要な予防措置です。