CVE-2026-5327：fast-filesystem-mcp 3.5.0-3.5.1 命令注入漏洞

fast-filesystem-mcp 在 3.5.1 及以下版本中发现了一个命令注入漏洞。该漏洞存在于文件 src/index.ts 中的 handleGetDiskUsage 函数中。远程攻击者可以通过操纵该函数的输入来利用此缺陷，从而在服务器上执行任意命令。该漏洞在 CVSS 规模上评分为 6.3。漏洞利用程序的公开可用性会大大增加风险，因为它降低了恶意行为者的准入门槛。项目已通过问题报告收到有关此问题的通知，但尚未做出响应，这令人担忧。

Applications and services that rely on fast-filesystem-mcp versions 3.5.0 or earlier are at risk. This includes Node.js-based applications that utilize the library for file system management tasks. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromise of one application could potentially lead to the compromise of others.

• nodejs / server:

  ps aux | grep 'fast-filesystem-mcp' | grep -i 'handleGetDiskUsage'

• nodejs / server:

  npm list fast-filesystem-mcp

• generic web: Review access logs for requests containing suspicious parameters that might be used for command injection. • generic web: Check for unusual processes running with Node.js, particularly those related to file system operations.

1. 2026-04-02Disclosure

   disclosure

1. 已保留2026-04-01
2. 发布日期2026-04-02
3. 修改日期2026-04-04
4. EPSS 更新日期2026-04-09

鉴于 fast-filesystem-mcp 开发人员缺乏官方修复程序，建议采取的缓解措施包括立即升级到修补版本（如果发布），或在不需要的情况下删除该组件。作为临时措施，请考虑实施额外的安全控制，例如对 handleGetDiskUsage 函数的输入进行严格验证，以防止命令注入。监控受影响的系统是否存在利用迹象至关重要。我们强烈建议联系开发团队以促使他们找到解决方案并随时了解任何安全更新。