CVE-2026-5621 是一个安全漏洞,影响 ChrisChinchilla Vale-MCP 版本 0.1.0。该漏洞存在于 src/index.ts 文件中,可能导致命令注入。攻击需要本地访问权限。
在 Vale-MCP 的 0.1.0 及更早版本中发现了一个命令注入漏洞。此漏洞影响了 HTTP 接口组件中文件 src/index.ts 中的未知功能。本地攻击者可以通过操纵 config_path 参数来利用此漏洞,从而执行任意操作系统命令。该漏洞已公开披露,这意味着可用的利用代码会增加攻击的风险。CVSS 评分是 5.3,表示中等风险。供应商对早期披露通知的回应不足加剧了情况,导致用户没有官方修复。
此漏洞需要对 Vale-MCP 运行的系统具有本地访问权限。攻击者可以通过操纵 HTTP 接口中的 config_path 参数来利用此漏洞。这允许注入操作系统命令,从而可能导致恶意代码执行、窃取敏感数据或完全控制系统。利用代码的公开披露便于具有不同技术水平的攻击者利用。供应商的回应不足使评估漏洞范围和可用反制措施更加复杂。
漏洞利用状态
EPSS
0.50% (66% 百分位)
CISA SSVC
鉴于供应商没有提供修复程序,立即的缓解措施是避免使用 Vale-MCP,直到发布了补丁版本。如果必须使用 Vale-MCP,请严格限制对应用程序及其运行系统的访问,以限制成功利用的潜在影响。实施严格的访问控制并监控系统是否存在可疑活动也有助于检测和防止攻击。如果可能,请考虑 Vale-MCP 的替代方案,尤其是在安全是首要问题时。供应商的回应不足使缓解更加困难。
Actualice a una versión corregida de Vale-MCP. Dado que el proveedor no ha respondido, se recomienda investigar y aplicar parches manualmente para mitigar la inyección de comandos del sistema operativo en la ruta de configuración. Considere eliminar o restringir el acceso a la funcionalidad afectada hasta que se publique una actualización oficial.
漏洞分析和关键警报直接发送到您的邮箱。
这意味着攻击者可以通过应用程序在底层操作系统上执行任意命令。
这意味着攻击者可以使用可用的利用代码来攻击易受攻击的系统。
在发布了补丁版本之前停止使用它,或者实施严格的缓解措施。
限制访问,实施严格的访问控制,并监控系统活动。
供应商的回应不足使缓解更加困难并增加了风险。考虑替代方案并随时了解任何新出现的信息。
CVSS 向量