Injeção de comando OS em saveCodebase no codebase.ts do RepoMix codebase-mcp DeDeveloper23

Uma vulnerabilidade foi encontrada no DeDeveloper23 codebase-mcp até 3ec749d237dd8eabbeef48657cf917275792fde6. Esta vulnerabilidade afeta a função getCodebase/getRemoteCodebase/saveCodebase do arquivo src/tools/codebase.ts do componente RepoMix Command Handler. Tal manipulação leva a uma injeção de comando OS (os command injection). O ataque precisa ser realizado localmente. O exploit foi divulgado ao público e pode ser usado. Este produto implementa um lançamento contínuo para entrega contínua, o que significa que as informações de versão para lançamentos afetados ou atualizados não estão disponíveis. O projeto foi informado do problema antecipadamente por meio de um relatório de problema, mas ainda não respondeu.