Platform
nodejs
Component
codebase-mcp
Opgelost in
3.0.1
CVE-2026-5023 beschrijft een command injection kwetsbaarheid in codebase-mcp. Deze kwetsbaarheid maakt het mogelijk om lokaal code uit te voeren. De kwetsbaarheid treft versies tot en met 3ec749d237dd8eabbeef48657cf917275792fde6. Aanvallers kunnen de kwetsbaarheid misbruiken om schadelijke code te injecteren. Er is momenteel geen officiële patch beschikbaar.
Een command injection-kwetsbaarheid is geïdentificeerd in DeDeveloper23 codebase-mcp, specifiek in de functies getCodebase/getRemoteCodebase/saveCodebase van het bestand src/tools/codebase.ts binnen de RepoMix Command Handler-component. Aangetaste versies zijn die vóór de commit 3ec749d237dd8eabbeef48657cf917275792fde6. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige besturingssysteem (OS) commando's uit te voeren op het systeem waarop de applicatie draait, waardoor mogelijk de vertrouwelijkheid, integriteit en beschikbaarheid van systeeminformatie en -bronnen in gevaar komt. De aard van de kwetsbaarheid vereist dat de aanval lokaal wordt uitgevoerd, wat betekent dat een gebruiker met toegang tot het systeem deze kan misbruiken. De publieke openbaarmaking van de kwetsbaarheid vergroot het risico op misbruik.
De kwetsbaarheid wordt misbruikt door de invoer te manipuleren die aan de functies getCodebase/getRemoteCodebase/saveCodebase wordt verstrekt. Deze manipulatie maakt de injectie van besturingssysteemcommando's mogelijk, die vervolgens worden uitgevoerd met de privileges van het applicatieproces. Omdat misbruik lokale toegang vereist, moet een aanvaller in staat zijn om rechtstreeks met het systeem te interageren waarop codebase-mcp draait. De publieke openbaarmaking van de kwetsbaarheid betekent dat aanvallers mogelijk toegang hebben tot informatie over hoe ze deze kunnen misbruiken, waardoor het risico op gerichte aanvallen toeneemt. Het ontbreken van een specifieke fix maakt het nog belangrijker om te upgraden naar de nieuwste versie.
Development teams using codebase-mcp within their Node.js applications are at risk. Specifically, those deploying applications with local access to the codebase-mcp component, or those with inadequate access controls, are particularly vulnerable. Environments where local user accounts have elevated privileges are also at increased risk.
• nodejs / server:
ps aux | grep codebase-mcp• nodejs / server:
journalctl -u codebase-mcp -f | grep -i "command injection"• generic web:
curl -I http://your-server/getCodebase/getRemoteCodebase/saveCodebase | grep -i "command injection"disclosure
Exploit Status
EPSS
0.51% (66% percentiel)
CISA SSVC
CVSS-vector
Vanwege het rolling release-model van codebase-mcp voor continue levering is de aanbevolen oplossing om te upgraden naar de nieuwste beschikbare versie. Upgraden zorgt ervoor dat de nieuwste beveiligingspatches worden toegepast. Hoewel er geen specifieke fix is aangeboden in het CVE-rapport, zou het rolling release-proces de kwetsbaarheid moeten mitigeren naarmate updates worden geïmplementeerd. Het is cruciaal om updates te volgen en de nieuwste versies zo snel mogelijk toe te passen. Daarnaast dient u lokale toegangscontrolebeleid te beoordelen en te versterken om het risico op misbruik door interne gebruikers te beperken.
Werk het codebase-mcp-pakket bij naar een versie na 3ec749d237dd8eabbeef48657cf917275792fde6. Als er geen versie beschikbaar is, wordt aanbevolen de broncode te bekijken en de nodige correcties toe te passen om (os command injection) te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een rolling release-model betekent dat updates regelmatig en continu worden uitgebracht, in plaats van grotere, afzonderlijke versies. Dit maakt een snellere levering van beveiligingspatches mogelijk.
Als u een versie van codebase-mcp gebruikt vóór 3ec749d237dd8eabbeef48657cf917275792fde6, bent u kwetsbaar.
Als u niet onmiddellijk kunt updaten, overweeg dan om strengere toegangscontroles te implementeren en de systeemactiviteit te volgen op tekenen van misbruik.
Nee, misbruik vereist lokale toegang tot het systeem.
U kunt meer informatie vinden in CVE-2026-5023.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.