MEDIUMCVE-2026-5602CVSS 5.3

heim-mcp 漏洞 CVE-2026-5602：命令注入 (5.3 MEDIUM)

平台

nodejs

组件

@nor2/heim-mcp

修复版本

0.1.1

0.1.2

0.1.3

0.1.4

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-5602 描述了 Nor2-io heim-mcp 版本 0.1.0–0.1.3 中的一个安全漏洞。该漏洞源于 src/tools.ts 文件中 function registerTools 的命令注入。攻击者可以通过操纵该函数来执行任意操作系统命令。该漏洞需要本地访问，并且已公开漏洞。已发布修复版本。

影响与攻击场景

在Nor2-io的heim-mcp库中发现了一个命令注入漏洞，影响版本高达0.1.3。该漏洞存在于newheimapplication/deployheimapplication/deployheimapplicationtocloud组件中的src/tools.ts文件的registerTools函数中。本地攻击者可以利用此漏洞执行任意操作系统命令，从而可能损害数据的机密性和完整性。该漏洞的严重程度评分为CVSS 5.3，表明存在中等风险。漏洞的公开披露增加了被利用的风险。

利用背景

利用此漏洞需要对受影响的系统具有本地访问权限。这意味着攻击者必须能够在系统上执行代码，然后才能利用registerTools中的漏洞。漏洞的公开披露意味着攻击者可能可以访问有关如何利用此漏洞的信息，从而增加了定向攻击的风险。建议监控受影响的系统，以查找可疑活动的迹象。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.08% (24% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件@nor2/heim-mcp

供应商osv

影响范围修复版本

0.1.0 – 0.1.00.1.1

0.1.1 – 0.1.10.1.2

0.1.2 – 0.1.20.1.3

0.1.3 – 0.1.30.1.4

0.1.30.1.4

弱点分类 (CWE)

CWE-78 CWE-77

时间线

已保留2026-04-05
发布日期2026-04-06
EPSS 更新日期2026-04-13

缓解措施和替代方案

为了缓解此漏洞，强烈建议升级到heim-mcp的0.1.4或更高版本。此版本包含一个补丁，其哈希值为c321d8af25f77668781e6ccb43a1336f9185df37，解决了命令注入问题。应用补丁是保护免受此威胁的最有效方法。已联系供应商，预计将提供进一步的信息和技术支持。在安装之前验证下载的补丁的完整性。

修复方法翻译中…

Actualice a la versión 0.1.4 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización corrige la función registerTools en el archivo src/tools.ts, eliminando la posibilidad de ejecución de comandos arbitrarios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5602 是什么 — @nor2/heim-mcp 中的 Command Injection？

这是一种漏洞，允许攻击者通过易受攻击的应用程序在底层操作系统上执行任意命令。

@nor2/heim-mcp 中的 CVE-2026-5602 是否会影响我？

这意味着攻击者必须能够直接在受影响的系统上执行代码。

如何修复 @nor2/heim-mcp 中的 CVE-2026-5602？

更新版本（0.1.4或更高版本）应可在Nor2-io的官方存储库中找到。

CVE-2026-5602 是否正在被积极利用？

如果无法立即更新，请实施额外的安全措施，例如限制对系统的本地访问以及监控可疑活动。

在哪里可以找到 @nor2/heim-mcp 关于 CVE-2026-5602 的官方安全通告？

您可以通过联系供应商Nor2-io来获得额外的技术支持。