Plataforma
nodejs
Componente
mcp-server-taskwarrior
Corrigido em
1.0.1
1.0.2
1.0.2
CVE-2026-5833 represents a Command Injection vulnerability discovered in the awwaiid mcp-server-taskwarrior component. This flaw allows an attacker to inject and execute arbitrary commands on the system, potentially leading to unauthorized access and control. The vulnerability affects versions of mcp-server-taskwarrior up to and including 1.0.1. A patch addressing this issue has been released, and upgrading to version 1.0.2 is recommended.
Uma vulnerabilidade de injeção de comandos foi identificada no awwaiid mcp-server-taskwarrior até a versão 1.0.1 (CVE-2026-5833). Essa vulnerabilidade afeta a função server.setRequestHandler no arquivo index.ts. Um atacante local pode manipular o argumento Identifier para executar comandos arbitrários no sistema. A severidade da vulnerabilidade é classificada como 5.3 de acordo com o CVSS. O fato de a exploração ser possível localmente e ter sido divulgada publicamente aumenta o risco. Essa vulnerabilidade poderia permitir que um atacante comprometa a integridade do sistema e, potencialmente, obtenha acesso não autorizado a dados confidenciais.
A vulnerabilidade requer acesso local ao sistema onde o awwaiid mcp-server-taskwarrior está sendo executado. Um atacante local pode explorar a vulnerabilidade manipulando o argumento Identifier na função server.setRequestHandler. A divulgação pública do exploit significa que as informações necessárias para explorar a vulnerabilidade estão disponíveis para um público mais amplo, aumentando a probabilidade de ataques. A natureza local da exploração limita o risco de ataques remotos diretos, mas ainda representa uma ameaça significativa para sistemas com acesso local comprometido.
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 1.0.2 do awwaiid mcp-server-taskwarrior. Essa versão inclui uma correção para a vulnerabilidade de injeção de comandos. O patch específico é 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2. Certifique-se de aplicar a atualização o mais rápido possível para mitigar o risco. Além disso, revise as configurações de segurança e as permissões de acesso para limitar o impacto potencial em caso de exploração bem-sucedida. O fornecedor foi contatado e respondeu, indicando um compromisso com a segurança.
Aplica la actualización a la versión 1.0.2 o superior para mitigar la vulnerabilidad de inyección de comandos. La actualización incluye una corrección en la función `server.setRequestHandler` que evita la manipulación del argumento `Identifier`. Consulta el commit `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2` para más detalles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um identificador único para uma vulnerabilidade de segurança no awwaiid mcp-server-taskwarrior.
Permite a execução de comandos arbitrários no sistema se o acesso local for obtido.
Atualize para a versão 1.0.2 do awwaiid mcp-server-taskwarrior.
O patch é 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2 e está incluído na versão 1.0.2.
Sim, o fornecedor foi contatado e respondeu.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.