В кодовой базе DeDeveloper23-mcp обнаружена уязвимость до 3ec749d237dd8eabbeef48657cf917275792fde6. Эта уязвимость затрагивает функцию getCodebase/getRemoteCodebase/saveCodebase файла src/tools/codebase.ts компонента RepoMix Command Handler. Такие манипуляции приводят к внедрению команд ОС.
Атака должна выполняться локально. Эксплойт был раскрыт публике и может быть использован. В этом продукте реализован скользящий выпуск для постоянной поставки, что означает, что информация о версиях затронутых или обновленных выпусков недоступна.
Проект был заранее проинформирован о проблеме в отчете о проблеме, но пока не ответил.
Показать оригинальное описание (EN)
A vulnerability has been found in DeDeveloper23 codebase-mcp up to 3ec749d237dd8eabbeef48657cf917275792fde6. This vulnerability affects the function getCodebase/getRemoteCodebase/saveCodebase of the file src/tools/codebase.ts of the component RepoMix Command Handler. Such manipulation leads to os command injection. The attack needs to be performed locally. The exploit has been disclosed to the public and may be used. This product implements a rolling release for ongoing delivery, which means version information for affected or updated releases is unavailable. The project was informed of the problem early through an issue report but has not responded yet.
Характеристики атаки
Последствия
Строка CVSS v4.0