sf-mcp-server — это реализация сервера Salesforce MCP для Claude for Desktop. В sf-mcp-server существует уязвимость внедрения команд из-за небезопасного использования child_process.exec при создании команд CLI Salesforce с вводом, управляемым пользователем. Успешная эксплуатация позволяет злоумышленникам выполнять произвольные команды оболочки с привилегиями процесса сервера MCP.
Показать оригинальное описание (EN)
sf-mcp-server is an implementation of Salesforce MCP server for Claude for Desktop. A command injection vulnerability exists in sf-mcp-server due to unsafe use of child_process.exec when constructing Salesforce CLI commands with user-controlled input. Successful exploitation allows attackers to execute arbitrary shell commands with the privileges of the MCP server process.
Характеристики атаки
Последствия
Строка CVSS v3.1