Platform
nodejs
Component
@nor2/heim-mcp
Opgelost in
0.1.1
0.1.2
0.1.3
0.1.4
0.1.4
CVE-2026-5602 is een Command Injection kwetsbaarheid ontdekt in de heim-mcp component, specifiek in de registerTools functie van het bestand src/tools.ts binnen de newheimapplication/deployheimapplication/deployheimapplicationtocloud module. Deze kwetsbaarheid stelt een aanvaller in staat om OS commando's uit te voeren, vereist echter lokaal toegang. De kwetsbaarheid treft versies 0.1.0 tot en met 0.1.3 van heim-mcp, en er is een patch (0.1.4) beschikbaar om het probleem te verhelpen.
Er is een command injection kwetsbaarheid vastgesteld in de heim-mcp bibliotheek van Nor2-io, die versies tot en met 0.1.3 beïnvloedt. De kwetsbaarheid bevindt zich in de functie registerTools van het bestand src/tools.ts binnen de component newheimapplication/deployheimapplication/deployheimapplicationtocloud. Een lokale aanvaller kan deze fout uitbuiten om willekeurige besturingssysteemcommando's uit te voeren, waardoor mogelijk de integriteit en vertrouwelijkheid van gegevens in gevaar komt. De ernst van deze kwetsbaarheid wordt beoordeeld als CVSS 5.3, wat een matig risico aangeeft. De publieke openbaarmaking van de kwetsbaarheid verhoogt het risico op uitbuiting.
Het exploiteren van deze kwetsbaarheid vereist lokale toegang tot het getroffen systeem. Dit betekent dat een aanvaller de mogelijkheid moet hebben om code op het systeem uit te voeren voordat hij de fout in registerTools kan benutten. De publieke openbaarmaking van de kwetsbaarheid betekent dat aanvallers mogelijk toegang hebben tot informatie over hoe ze deze kunnen exploiteren, waardoor het risico op gerichte aanvallen toeneemt. Het wordt aanbevolen om getroffen systemen te controleren op tekenen van verdachte activiteiten.
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
Om deze kwetsbaarheid te verhelpen, wordt ten zeerste aanbevolen om te upgraden naar versie 0.1.4 of hoger van heim-mcp. Deze versie bevat een patch, geïdentificeerd door de hash c321d8af25f77668781e6ccb43a1336f9185df37, die het command injection probleem aanpakt. Het toepassen van de patch is de meest effectieve manier om uzelf te beschermen tegen deze bedreiging. De leverancier is benaderd en zal naar verwachting aanvullende informatie en technische ondersteuning verstrekken indien nodig. Controleer de integriteit van de gedownloade patch voordat u deze installeert.
Actualice a la versión 0.1.4 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la función registerTools en el archivo src/tools.ts, eliminando la posibilidad de ejecución de comandos arbitrarios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een kwetsbaarheid die een aanvaller in staat stelt willekeurige commando's op het onderliggende besturingssysteem uit te voeren via een kwetsbare applicatie.
Het betekent dat de aanvaller de mogelijkheid moet hebben om code rechtstreeks op het getroffen systeem uit te voeren.
De bijgewerkte versie (0.1.4 of hoger) zou beschikbaar moeten zijn vanuit de officiële repository van Nor2-io.
Als onmiddellijke update niet mogelijk is, implementeer dan aanvullende beveiligingsmaatregelen, zoals het beperken van lokale toegang tot het systeem en het monitoren op verdachte activiteiten.
U kunt contact opnemen met de leverancier, Nor2-io, voor aanvullende technische ondersteuning.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.