MEDIUMCVE-2026-5619CVSS 5.3

Braffolk mcp-summarization-functions summarize_command mcp-server.ts os 命令注入

平台

nodejs

组件

mcp-summarization-functions

修复版本

0.1.1

0.1.2

0.1.3

0.1.4

0.1.5

0.1.6

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5619 是一个安全漏洞，影响 Braffolk mcp-summarization-functions 版本 0.1.0 到 0.1.5。该漏洞存在于 src/server/mcp-server.ts 文件中，可能导致命令注入。攻击需要本地访问权限。

影响与攻击场景

Braffolk 的 mcp-summarization-functions 库中发现了一个命令注入漏洞，影响版本高达 0.1.5。该漏洞位于 src/server/mcp-server.ts 文件的 summarize_command 函数中。具有本地访问权限的攻击者可以通过操纵 command 参数来执行任意操作系统命令。供应商对早期披露通知的回应不足加剧了这种情况，导致用户没有官方修复。由于已经发布了功能性漏洞利用程序，因此此漏洞尤其令人担忧，这使得恶意攻击者更容易利用它。强烈建议用户评估其系统上的影响，并在供应商提供更新之前寻求替代解决方案或缓解措施。

利用背景

该漏洞需要对运行 mcp-summarization-functions 的系统具有本地访问权限。具有此访问权限的攻击者可以通过操纵 summarize_command 函数中的 command 参数来注入恶意命令。已发布的漏洞利用程序简化了此过程，并提供了有关如何利用该漏洞的明确指导。由于缺乏输入验证或清理，因此可以执行任意命令。利用的潜在影响包括执行恶意代码、盗窃机密数据、修改系统文件以及完全控制服务器。漏洞利用程序的发布大大增加了利用风险，因为它简化了攻击者的任务。

哪些人处于风险中翻译中…

This vulnerability primarily affects developers and system administrators using Braffolk's mcp-summarization-functions library in their Node.js applications. Environments utilizing shared hosting or where user accounts have elevated privileges are at particularly high risk. Any application relying on the summarize_command functionality without proper input validation is potentially vulnerable.

检测步骤翻译中…

• nodejs / server:

  ps aux | grep mcp-summarization-functions | grep -i 'command='

• nodejs / server:

  journalctl -u mcp-summarization-functions -g 'command injection'

• generic web:

  curl -I http://your-server/summarize_command | grep -i 'command='

攻击时间线

2026-04-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.50% (66% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件mcp-summarization-functions

供应商Braffolk

影响范围修复版本

0.1.0 – 0.1.00.1.1

0.1.1 – 0.1.10.1.2

0.1.2 – 0.1.20.1.3

0.1.3 – 0.1.30.1.4

0.1.4 – 0.1.40.1.5

0.1.5 – 0.1.50.1.6

弱点分类 (CWE)

CWE-78 CWE-77

时间线

已保留2026-04-05
发布日期2026-04-06
EPSS 更新日期2026-04-13

未修复 — 披露已48天

缓解措施和替代方案

鉴于供应商缺乏修复，立即缓解至关重要。限制对服务器的本地访问是最有效的措施。实施严格的访问控制并进行定期审计可以帮助检测和防止利用尝试。此外，请仔细审查源代码以识别和更正任何潜在的漏洞入口点。考虑使用 Web 应用程序防火墙 (WAF) 来过滤恶意流量。监控系统日志中与命令执行相关的任何可疑活动。如果可能，请迁移到库的更安全版本（如果可用），或寻找提供类似功能且具有更好安全态势的替代方案。供应商的回应不足需要积极的警惕和缓解。

修复方法翻译中…

Actualice a una versión corregida de la biblioteca mcp-summarization-functions.  Revise el código fuente para identificar y mitigar la vulnerabilidad de inyección de comandos del sistema operativo en la función summarize_command.  Implemente una validación y saneamiento robustos de las entradas del usuario para prevenir la ejecución de comandos no autorizados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5619 是什么 — mcp-summarization-functions 中的 Command Injection？

这意味着攻击者需要具有与运行程序的用户的相同权限的物理或远程访问权限。

mcp-summarization-functions 中的 CVE-2026-5619 是否会影响我？

实施额外的安全措施，例如 Web 应用程序防火墙 (WAF) 和对系统日志的彻底监控。

如何修复 mcp-summarization-functions 中的 CVE-2026-5619？

研究提供更好安全性的类似功能的替代库。如果可行，请考虑开发自己的解决方案。

CVE-2026-5619 是否正在被积极利用？

检查系统日志中是否存在可疑活动，例如执行意外命令或修改系统文件。

在哪里可以找到 mcp-summarization-functions 关于 CVE-2026-5619 的官方安全通告？

鉴于供应商没有回应，请寻求专家的安全建议或查阅在线安全论坛。