FastMCP — это стандартная среда для создания приложений MCP. В версиях до 2.13.0 уязвимость внедрения команд позволяет любому злоумышленнику, который может повлиять на поле server_name MCP, выполнять произвольные команды ОС на хостах Windows, на которых запущен курсор установки fastmcp. Эта уязвимость исправлена в версии 2.13.0.
Показать оригинальное описание (EN)
FastMCP is the standard framework for building MCP applications. Versions prior to 2.13.0, a command-injection vulnerability lets any attacker who can influence the server_name field of an MCP execute arbitrary OS commands on Windows hosts that run fastmcp install cursor. This vulnerability is fixed in 2.13.0.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Активное
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Jlowin Fastmcp
cpe:2.3:a:jlowin:fastmcp:*:*:*:*:*:*:*:*
|
— |
2.13.0
|