Plataforma
nodejs
Componente
@nor2/heim-mcp
Corrigido em
0.1.1
0.1.2
0.1.3
0.1.4
0.1.4
A vulnerabilidade CVE-2026-5602 é uma falha de Command Injection identificada no componente heim-mcp, especificamente na função registerTools do arquivo src/tools.ts. Essa falha permite a execução de comandos arbitrários no sistema, exigindo acesso local para ser explorada. As versões afetadas são 0.1.0 até 0.1.3, e uma correção foi disponibilizada na versão 0.1.4.
Uma vulnerabilidade de injeção de comandos do sistema operacional (OS command injection) foi identificada na biblioteca heim-mcp da Nor2-io, afetando versões até a 0.1.3. A vulnerabilidade reside na função registerTools do arquivo src/tools.ts dentro do componente newheimapplication/deployheimapplication/deployheimapplicationtocloud. Um atacante com acesso local pode explorar essa falha para executar comandos arbitrários no sistema, comprometendo potencialmente a integridade e a confidencialidade dos dados. A gravidade desta vulnerabilidade é classificada como CVSS 5.3, indicando um risco moderado. A divulgação pública da vulnerabilidade aumenta o risco de exploração.
A exploração desta vulnerabilidade requer acesso local ao sistema afetado. Isso significa que um atacante deve ter a capacidade de executar código no sistema antes de poder aproveitar-se da falha em registerTools. A divulgação pública da vulnerabilidade significa que os atacantes podem ter acesso a informações sobre como explorá-la, o que aumenta o risco de ataques direcionados. Recomenda-se monitorizar os sistemas afetados em busca de sinais de atividade suspeita.
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, recomenda-se fortemente atualizar para a versão 0.1.4 ou posterior de heim-mcp. Esta versão inclui uma correção (patch) identificada pelo hash c321d8af25f77668781e6ccb43a1336f9185df37 que aborda a injeção de comandos do sistema operacional. A aplicação do patch é a medida mais eficaz para se proteger contra esta ameaça. O fornecedor foi contactado e espera-se que forneça informações adicionais e suporte técnico, se necessário. Verifique a integridade do patch descarregado antes da instalação.
Actualice a la versión 0.1.4 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la función registerTools en el archivo src/tools.ts, eliminando la posibilidad de ejecución de comandos arbitrarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a um atacante executar comandos arbitrários no sistema operacional subjacente através de uma aplicação vulnerável.
Significa que o atacante deve ter a capacidade de executar código diretamente no sistema afetado.
A versão atualizada (0.1.4 ou posterior) deve estar disponível no repositório oficial da Nor2-io.
Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso local ao sistema e monitorizar a atividade suspeita.
Pode contactar o fornecedor, Nor2-io, para obter suporte técnico adicional.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.