В функциях суммирования mcp Braffolk была обнаружена ошибка до версии 0.1.5. Это влияет на неизвестную функцию файла src/server/mcp-server.ts компонента summary_command. Выполнение манипуляции с командой аргумента может привести к внедрению команды os.
Атака требует локального доступа. Эксплойт опубликован и может быть использован. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A flaw has been found in Braffolk mcp-summarization-functions up to 0.1.5. This impacts an unknown function of the file src/server/mcp-server.ts of the component summarize_command. Executing a manipulation of the argument command can lead to os command injection. The attack requires local access. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0