Platform
nodejs
Component
fast-filesystem-mcp
Opgelost in
3.5.1
3.5.2
3.5.1
CVE-2026-5327 is een Command Injection kwetsbaarheid in de handleGetDiskUsage functie van de src/index.ts file van efforthye fast-filesystem-mcp. Een aanvaller kan deze kwetsbaarheid misbruiken om op afstand commando's uit te voeren op het systeem. De kwetsbaarheid treft versies 3.5.0 tot en met 3.5.1. Er is geen officiële patch beschikbaar om dit probleem te verhelpen.
Een command injection-kwetsbaarheid is ontdekt in fast-filesystem-mcp tot versie 3.5.1. De kwetsbaarheid bevindt zich in de functie handleGetDiskUsage in het bestand src/index.ts. Een externe aanvaller kan deze fout uitbuiten door de invoer naar deze functie te manipuleren, waardoor willekeurige commando's op de server kunnen worden uitgevoerd. De kwetsbaarheid wordt beoordeeld als 6.3 op de CVSS-schaal. De publieke beschikbaarheid van een exploit verhoogt het risico aanzienlijk, omdat dit de drempel voor kwaadwillende actoren verlaagt. Het project is op de hoogte gesteld van het probleem via een issue-rapport, maar heeft nog niet gereageerd, wat zorgwekkend is.
De kwetsbaarheid kan op afstand worden uitgebuit, wat betekent dat een aanvaller geen fysieke toegang tot het getroffen systeem nodig heeft. De functie handleGetDiskUsage is kwetsbaar voor command injection als de gebruikersinvoer niet correct wordt gevalideerd. Een aanvaller kan de invoer manipuleren om kwaadaardige commando's in te sluiten die op de server worden uitgevoerd. De publieke beschikbaarheid van de exploit vereenvoudigt de uitbuiting en verhoogt het risico op aanvallen. Het gebrek aan reactie van het project verergert de situatie, omdat er geen officiële fix beschikbaar is.
Applications and services that rely on fast-filesystem-mcp versions 3.5.0 or earlier are at risk. This includes Node.js-based applications that utilize the library for file system management tasks. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially lead to the compromise of others.
• nodejs / server:
ps aux | grep 'fast-filesystem-mcp' | grep -i 'handleGetDiskUsage'• nodejs / server:
npm list fast-filesystem-mcp• generic web: Review access logs for requests containing suspicious parameters that might be used for command injection. • generic web: Check for unusual processes running with Node.js, particularly those related to file system operations.
disclosure
Exploit Status
EPSS
1.23% (79% percentiel)
CISA SSVC
CVSS-vector
Gezien het ontbreken van een officiële fix van de fast-filesystem-mcp-ontwikkelaars omvatten de aanbevolen maatregelen een onmiddellijke upgrade naar een gepatchte versie (indien beschikbaar) of het verwijderen van de component als deze niet essentieel is. Als tijdelijke maatregel dient u overwogen om aanvullende beveiligingscontroles te implementeren, zoals een strikte validatie van de invoer naar de functie handleGetDiskUsage om command injection te voorkomen. Het monitoren van getroffen systemen op tekenen van uitbuiting is cruciaal. Wij raden ten zeerste aan contact op te nemen met het ontwikkelingsteam om een oplossing te forceren en op de hoogte te blijven van beveiligingsupdates.
Actualizar el paquete fast-filesystem-mcp a una versión posterior a 3.5.1, si existe, que corrija la vulnerabilidad de inyección de comandos. Si no hay una versión corregida disponible, considerar deshabilitar o eliminar el paquete hasta que se publique una actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Command injection stelt een aanvaller in staat om willekeurige commando's op het systeem uit te voeren, waardoor de beveiliging van de server mogelijk wordt aangetast.
Als u fast-filesystem-mcp gebruikt in versie 3.5.1 of lager, is uw systeem kwetsbaar. Controleer de systeemlogboeken op verdachte activiteiten.
Implementeer aanvullende beveiligingscontroles, zoals invoervalidatie, en monitor uw systeem op tekenen van uitbuiting.
Probeer rechtstreeks contact op te nemen met het ontwikkelingsteam van fast-filesystem-mcp. U kunt ook op zoek naar informatie op beveiligingsforums en kwetsbaarheidsdatabases.
Momenteel zijn er geen specifieke tools beschikbaar, maar u kunt algemene tools voor kwetsbaarheidsscans gebruiken om naar command injection-patronen te zoeken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.