Plataforma
nodejs
Componente
codebase-mcp
Corrigido em
3.0.1
CVE-2026-5023 descreve uma vulnerabilidade de Command Injection encontrada no componente codebase-mcp, afetando versões até 3ec749d237dd8eabbeef48657cf917275792fde6. A falha permite a execução de comandos do sistema operacional (OS) localmente através da manipulação das funções getCodebase/getRemoteCodebase/saveCodebase no arquivo src/tools/codebase.ts. Devido à natureza de rolling release do produto, informações sobre versões corrigidas não estão disponíveis e não há patch oficial.
Uma vulnerabilidade de injeção de comandos do sistema operacional (OS) foi identificada no codebase DeDeveloper23 codebase-mcp, especificamente nas funções getCodebase/getRemoteCodebase/saveCodebase do arquivo src/tools/codebase.ts dentro do componente RepoMix Command Handler. As versões afetadas são aquelas anteriores à revisão 3ec749d237dd8eabbeef48657cf917275792fde6. Esta vulnerabilidade permite que um atacante execute comandos arbitrários no sistema onde a aplicação está em execução, comprometendo potencialmente a confidencialidade, integridade e disponibilidade dos dados e recursos do sistema. A natureza da vulnerabilidade exige que o ataque seja realizado localmente, o que significa que um usuário com acesso ao sistema pode explorá-la. A divulgação pública da vulnerabilidade aumenta o risco de exploração.
A vulnerabilidade é explorada manipulando a entrada fornecida às funções getCodebase/getRemoteCodebase/saveCodebase. Essa manipulação permite a injeção de comandos do sistema operacional, que são então executados com os privilégios do processo da aplicação. Como a exploração requer acesso local, um atacante precisa ter a capacidade de interagir diretamente com o sistema onde o codebase-mcp está em execução. A divulgação pública da vulnerabilidade significa que os atacantes podem ter acesso a informações sobre como explorá-la, aumentando o risco de ataques direcionados. A falta de uma solução específica (fix) torna a atualização para a versão mais recente ainda mais crítica.
Development teams using codebase-mcp within their Node.js applications are at risk. Specifically, those deploying applications with local access to the codebase-mcp component, or those with inadequate access controls, are particularly vulnerable. Environments where local user accounts have elevated privileges are also at increased risk.
• nodejs / server:
ps aux | grep codebase-mcp• nodejs / server:
journalctl -u codebase-mcp -f | grep -i "command injection"• generic web:
curl -I http://your-server/getCodebase/getRemoteCodebase/saveCodebase | grep -i "command injection"disclosure
Status do Exploit
EPSS
0.51% (percentil 66%)
CISA SSVC
Vetor CVSS
Devido ao modelo de lançamento contínuo (rolling release) do codebase-mcp para entrega contínua, a solução recomendada é atualizar para a versão mais recente disponível. A atualização garante que os patches de segurança mais recentes sejam aplicados. Embora não tenha sido fornecida uma solução específica (fix) no relatório CVE, o processo de rolling release deve mitigar a vulnerabilidade à medida que as atualizações forem implementadas. É crucial monitorar as atualizações e aplicar as versões mais recentes assim que estiverem disponíveis. Além disso, revise e fortaleça as políticas de controle de acesso local para limitar o risco de exploração por usuários internos.
Actualizar el paquete codebase-mcp a una versión posterior a 3ec749d237dd8eabbeef48657cf917275792fde6, si estuviera disponible. De lo contrario, se recomienda revisar y corregir el código fuente en src/tools/codebase.ts, específicamente las funciones getCodebase/getRemoteCodebase/saveCodebase, para evitar la inyección de comandos del sistema operativo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um modelo de lançamento contínuo significa que as atualizações são publicadas regularmente e continuamente, em vez de versões maiores e separadas. Isso permite uma entrega mais rápida de correções de segurança.
Se você estiver usando uma versão do codebase-mcp anterior a 3ec749d237dd8eabbeef48657cf917275792fde6, você está vulnerável.
Se você não puder atualizar imediatamente, considere implementar controles de acesso mais rígidos e monitorar a atividade do sistema em busca de sinais de exploração.
Não, a exploração requer acesso local ao sistema.
Você pode encontrar mais informações em CVE-2026-5023.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.