MEDIUMCVE-2026-5831CVSS 6.3

Agions taskflow-ai terminal_execute handlers.ts 操作系统命令注入

Q: CVE-2026-5831 是否正在被积极利用？

是的，供应商已收到通知并积极响应。

平台

nodejs

组件

taskflow-ai

修复版本

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

2.1.6

2.1.7

2.1.8

2.1.9

AI Confidence: highNVDEPSS 1.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5831 是 Agions taskflow-ai 组件中发现的一个命令注入漏洞，影响到 2.1.8 及更早版本。攻击者可以通过操纵输入，在服务器上执行任意操作系统命令，可能导致系统被入侵或数据泄露。该漏洞影响到 terminal_execute 组件的 src/mcp/server/handlers.ts 文件。已发布 2.1.9 版本修复了此问题，建议尽快升级。

影响与攻击场景

Agions taskflow-ai 在 2.1.8 及更早版本中发现了一个命令注入漏洞。该漏洞位于 src/mcp/server/handlers.ts 文件中的 terminal_execute 组件。攻击者可以通过操纵未知函数输入来利用此漏洞，从而在底层系统上执行任意操作系统命令。此漏洞的严重程度评分为 CVSS 6.3，表明存在中等风险。成功利用可能导致系统被攻陷、数据被盗或拒绝服务。为了保护您的系统，解决此漏洞至关重要。

利用背景

该漏洞位于 terminal_execute 组件中，并影响 src/mcp/server/handlers.ts 文件中输入处理方式。攻击者可以利用恶意输入来注入将在 taskflow-ai 进程的权限下执行的操作系统命令。此漏洞的远程性质意味着攻击者无需物理访问系统即可利用此漏洞。由于缺乏有关受影响的特定函数详细信息，因此难以准确评估影响，但操作系统命令注入的可能性是一个重大的问题。

哪些人处于风险中翻译中…

Organizations deploying taskflow-ai in production environments, particularly those with internet-facing deployments, are at risk. Environments where user input is directly incorporated into system commands without proper sanitization are especially vulnerable. Shared hosting environments utilizing taskflow-ai should be prioritized for patching.

检测步骤翻译中…

• nodejs: Monitor process execution for suspicious commands originating from the taskflow-ai process.

Get-Process taskflow-ai | Select-Object -ExpandProperty CommandLine | Select-String -Pattern "[a-zA-Z]:\"

• linux / server: Examine system logs for unusual command executions related to the taskflow-ai process.

journalctl -u taskflow-ai | grep -i 'command injection'

• generic web: Check access logs for requests containing suspicious characters or patterns that could be indicative of command injection attempts.

grep -i 'command injection' /var/log/apache2/access.log

攻击时间线

2026-04-08Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

1.23% (79% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件taskflow-ai

供应商osv

影响范围修复版本

2.1.0 – 2.1.02.1.1

2.1.1 – 2.1.12.1.2

2.1.2 – 2.1.22.1.3

2.1.3 – 2.1.32.1.4

2.1.4 – 2.1.42.1.5

2.1.5 – 2.1.52.1.6

2.1.6 – 2.1.62.1.7

2.1.7 – 2.1.72.1.8

2.1.8 – 2.1.82.1.9

弱点分类 (CWE)

CWE-77

时间线

已保留2026-04-08
发布日期2026-04-08
修改日期2026-04-10
EPSS 更新日期2026-04-16

缓解措施和替代方案

建议的解决方案是将 taskflow-ai 升级到 2.1.9 或更高版本。此版本包含一个特定的修复程序（commit c1550b445b9f24f38c4414e9a545f5f79f23a0fe），可减轻操作系统命令注入漏洞。在升级之前，建议备份您的配置和数据。如果无法立即升级，请考虑实施额外的安全措施，例如限制对 terminal_execute 组件的访问以及监控可疑活动。供应商已联系并非常积极地做出响应。

修复方法翻译中…

Actualice el componente taskflow-ai a la versión 2.1.9 o superior para mitigar la vulnerabilidad de inyección de comandos del sistema operativo. La actualización incluye una corrección específica (c1550b445b9f24f38c4414e9a545f5f79f23a0fe) que aborda esta vulnerabilidad.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5831 是什么 — taskflow-ai 中的 Command Injection？

这是一种漏洞，允许攻击者在底层操作系统上执行任意命令。

taskflow-ai 中的 CVE-2026-5831 是否会影响我？

如果您使用的是 taskflow-ai 的 2.1.9 之前的版本，则很可能受到影响。

如何修复 taskflow-ai 中的 CVE-2026-5831？

实施额外的安全措施，例如限制访问和监控活动。

CVE-2026-5831 是否正在被积极利用？