HIGHCVE-2026-6130CVSS 7.3

chatboxai chatbox Model Context Protocol Server Management System ipc-stdio-transport.ts StdioClientTransport os 命令注入

平台

nodejs

组件

chatboxai/chatbox

修复版本

1.0.1

1.1.1

1.2.1

1.3.1

1.4.1

1.5.1

1.6.1

1.7.1

1.8.1

1.9.1

1.10.1

1.11.1

1.12.1

AI Confidence: highNVDEPSS 1.8%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-6130 是 chatboxai chatbox 软件中发现的命令注入漏洞。该漏洞允许攻击者通过构造恶意请求，在目标系统上执行任意操作系统命令，可能导致系统被完全控制。该漏洞影响 chatboxai chatbox 1.0.0 至 1.20.0 版本，目前尚未发布官方修复补丁。

影响与攻击场景

在 chatboxai chatbox 的 1.20.0 及更早版本中发现了一种命令注入漏洞。该漏洞位于文件 src/main/mcp/ipc-stdio-transport.ts 中的 StdioClientTransport 函数中，是 Model Context Protocol Server Management System 的一个组件。攻击者可以通过操纵 'args/env' 参数来利用此漏洞，从而可能导致执行任意操作系统命令。由于此漏洞可以远程利用，因此尤其令人担忧，因为它可以在无需访问受影响系统的情况下被利用。公开发布利用程序会大大增加攻击的风险。

利用背景

该漏洞位于 StdioClientTransport 函数中，特别是关于如何处理 'args/env' 参数。攻击者可以在这些参数中注入恶意命令，这些命令随后将由系统执行。可用的功能性利用程序简化了 exploitation 过程，使具有有限技术技能的攻击者能够破坏系统。由于 exploitation 可以远程执行，因此潜在的攻击面扩大，影响了更广泛的系统。

哪些人处于风险中翻译中…

Organizations deploying chatboxai chatbox in production environments, particularly those with public-facing instances or those integrated with other critical systems, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as a compromise of one user's chatboxai chatbox instance could potentially impact others.

检测步骤翻译中…

• nodejs: Monitor process execution for suspicious commands related to the chatboxai chatbox application.

ps aux | grep chatboxai | grep -i 'command injection'

• nodejs: Check for unusual network connections originating from the chatboxai chatbox process.

netstat -tulnp | grep chatboxai

• generic web: Examine access and error logs for requests containing suspicious characters or patterns indicative of command injection attempts (e.g., ;, |, &&). • generic web: Review response headers for unexpected content or error messages that might indicate exploitation.

攻击时间线

2026-04-12Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

1.76% (83% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件chatboxai/chatbox

供应商chatboxai

影响范围修复版本

1.0 – 1.01.0.1

1.1 – 1.11.1.1

1.2 – 1.21.2.1

1.3 – 1.31.3.1

1.4 – 1.41.4.1

1.5 – 1.51.5.1

1.6 – 1.61.6.1

1.7 – 1.71.7.1

1.8 – 1.81.8.1

弱点分类 (CWE)

CWE-78 CWE-77

时间线

已保留2026-04-12
发布日期2026-04-12
修改日期2026-04-13
EPSS 更新日期2026-04-20

未修复 — 披露已42天

缓解措施和替代方案

目前，chatboxai 开发人员尚未发布任何官方修复程序（fix）。当前的建议是，在安全更新可用之前，避免使用 chatboxai chatbox 的 1.20.0 之前的版本。作为临时措施，建议实施严格的网络控制，以限制对 chatboxai 实例的访问，并主动监控系统是否存在可疑活动。用户应随时关注 chatboxai 团队发布的任何安全公告，并在更新可用时立即应用更新。项目对初始漏洞报告的回应不足是额外的风险因素。

修复方法翻译中…

Actualice a una versión corregida de chatboxai chatbox.  El proveedor no ha respondido al informe de vulnerabilidad, por lo que se recomienda verificar la documentación oficial o buscar forks comunitarios con parches disponibles.  Revise y asegure la configuración del servidor para mitigar el riesgo de inyección de comandos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-6130 是什么 — chatboxai chatbox 中的 Command Injection？

这意味着攻击者可以在服务器的操作系统上执行命令，从而获得对其的控制权。

chatboxai chatbox 中的 CVE-2026-6130 是否会影响我？

立即停止使用该版本，并等待开发者的安全更新。

如何修复 chatboxai chatbox 中的 CVE-2026-6130？

实施严格的网络控制，并监控您的系统是否存在可疑活动。

CVE-2026-6130 是否正在被积极利用？

缺乏回应令人担忧，并增加了风险。随时关注开发者的公告。

在哪里可以找到 chatboxai chatbox 关于 CVE-2026-6130 的官方安全通告？

查找系统日志中不寻常的活动、正在运行的未知进程以及文件中的意外更改。