MEDIUMCVE-2026-5833CVSS 5.3

awwaiid mcp-server-taskwarrior 存在命令注入漏洞

Q: CVE-2026-5833 是否正在被积极利用？

补丁是 `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2`，包含在 1.0.2 版本中。

Q: 在哪里可以找到 mcp-server-taskwarrior 关于 CVE-2026-5833 的官方安全通告？

是的，供应商已被联系并已回复。

平台

nodejs

组件

mcp-server-taskwarrior

修复版本

1.0.1

1.0.2

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年4月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-5833 represents a Command Injection vulnerability discovered in the awwaiid mcp-server-taskwarrior component. This flaw allows an attacker to inject and execute arbitrary commands on the system, potentially leading to unauthorized access and control. The vulnerability affects versions of mcp-server-taskwarrior up to and including 1.0.1. A patch addressing this issue has been released, and upgrading to version 1.0.2 is recommended.

影响与攻击场景

awwaiid mcp-server-taskwarrior 在 1.0.1 版本及之前存在命令注入漏洞（CVE-2026-5833）。此漏洞影响到文件 index.ts 中的 server.setRequestHandler 函数。本地攻击者可以通过操纵 Identifier 参数在系统上执行任意命令。根据 CVSS 的评估，此漏洞的严重程度评分为 5.3。漏洞能够被本地利用，并且已经公开披露，这增加了风险。此漏洞可能允许攻击者破坏系统完整性，并可能获得对敏感数据的未经授权的访问。

利用背景

此漏洞需要对运行 awwaiid mcp-server-taskwarrior 的系统具有本地访问权限。本地攻击者可以通过操纵 server.setRequestHandler 函数中的 Identifier 参数来利用此漏洞。漏洞利用程序的公开披露意味着用于利用此漏洞的必要信息对更广泛的受众可用，从而增加了攻击的可能性。利用的本地性质限制了直接远程攻击的风险，但仍然对具有受损本地访问权限的系统构成重大威胁。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.30% (53% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件mcp-server-taskwarrior

供应商osv

影响范围修复版本

1.0.0 – 1.0.01.0.1

1.0.1 – 1.0.11.0.2

1.0.11.0.2

弱点分类 (CWE)

CWE-74

时间线

已保留2026-04-08
发布日期2026-04-09
修改日期2026-04-10
EPSS 更新日期2026-04-16

缓解措施和替代方案

建议的解决方案是将 awwaiid mcp-server-taskwarrior 升级到 1.0.2 版本。此版本包含针对命令注入漏洞的修复程序。具体的补丁是 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2。请尽快应用更新以降低风险。此外，请审查安全配置和访问权限，以限制在成功利用的情况下可能造成的潜在影响。供应商已被联系并已回复，表明了对安全的承诺。

修复方法翻译中…

Aplica la actualización a la versión 1.0.2 o superior para mitigar la vulnerabilidad de inyección de comandos.  La actualización incluye una corrección en la función `server.setRequestHandler` que evita la manipulación del argumento `Identifier`.  Consulta el commit `1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2` para más detalles.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5833 是什么 — mcp-server-taskwarrior 中的 Command Injection？

它是 awwaiid mcp-server-taskwarrior 中安全漏洞的唯一标识符。

mcp-server-taskwarrior 中的 CVE-2026-5833 是否会影响我？

如果获得本地访问权限，则允许在系统上执行任意命令。

如何修复 mcp-server-taskwarrior 中的 CVE-2026-5833？

将 awwaiid mcp-server-taskwarrior 升级到 1.0.2 版本。

CVE-2026-5833 是否正在被积极利用？

补丁是 1ee3d282debfa0a99afeb41d22c4b2fd5a3148f2，包含在 1.0.2 版本中。

在哪里可以找到 mcp-server-taskwarrior 关于 CVE-2026-5833 的官方安全通告？