Platform
nodejs
Component
mcp-server-taskwarrior
Opgelost in
1.0.1
1.0.2
1.0.2
CVE-2026-5833 represents a Command Injection vulnerability discovered in the awwaiid mcp-server-taskwarrior component. This flaw allows an attacker to inject and execute arbitrary commands on the system, potentially leading to unauthorized access and control. The vulnerability affects versions of mcp-server-taskwarrior up to and including 1.0.1. A patch addressing this issue has been released, and upgrading to version 1.0.2 is recommended.
Een command injection-kwetsbaarheid is gevonden in awwaiid mcp-server-taskwarrior tot versie 1.0.1 (CVE-2026-5833). Deze kwetsbaarheid beïnvloedt de functie server.setRequestHandler in het bestand index.ts. Een lokale aanvaller kan het argument Identifier manipuleren om willekeurige commando's op het systeem uit te voeren. De ernst van de kwetsbaarheid wordt beoordeeld als 5.3 volgens CVSS. Het feit dat de exploitatie lokaal mogelijk is en publiekelijk is bekendgemaakt, verhoogt het risico. Deze kwetsbaarheid kan een aanvaller in staat stellen de systeemintegriteit te compromitteren en mogelijk ongeautoriseerde toegang te krijgen tot gevoelige gegevens.
De kwetsbaarheid vereist lokale toegang tot het systeem waarop awwaiid mcp-server-taskwarrior wordt uitgevoerd. Een lokale aanvaller kan de kwetsbaarheid uitbuiten door het argument Identifier in de functie server.setRequestHandler te manipuleren. De publieke bekendmaking van de exploit betekent dat de noodzakelijke informatie om de kwetsbaarheid uit te buiten beschikbaar is voor een breder publiek, waardoor de kans op aanvallen toeneemt. De lokale aard van de exploitatie beperkt het risico van directe remote-aanvallen, maar vormt nog steeds een aanzienlijke bedreiging voor systemen met gecompromitteerde lokale toegang.
Exploit Status
EPSS
0.30% (53% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar versie 1.0.2 van awwaiid mcp-server-taskwarrior. Deze versie bevat een correctie voor de command injection-kwetsbaarheid. De specifieke patch is 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2. Zorg ervoor dat u de update zo snel mogelijk toepast om het risico te beperken. Controleer bovendien beveiligingsconfiguraties en toegangsrechten om potentiële impact in geval van succesvolle exploitatie te beperken. De leverancier is benaderd en heeft geantwoord, wat een toewijding aan beveiliging aantoont.
Aplica la actualización a la versión 1.0.2 o superior para mitigar la vulnerabilidad de inyección de comandos. La actualización incluye una corrección en la función `server.setRequestHandler` que evita la manipulación del argumento `Identifier`. Consulta el commit `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2` para más detalles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een unieke identificatiecode voor een beveiligingslek in awwaiid mcp-server-taskwarrior.
Het maakt de uitvoering van willekeurige commando's op het systeem mogelijk als lokale toegang wordt verkregen.
Werk bij naar versie 1.0.2 van awwaiid mcp-server-taskwarrior.
De patch is 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2 en is opgenomen in versie 1.0.2.
Ja, de leverancier is benaderd en heeft geantwoord.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.