Уязвимость была обнаружена в ChrisChinchilla Vale-MCP до версии 0.1.0. Этой уязвимости подвержена неизвестная функциональность файла src/index.ts компонента HTTP-интерфейса. Манипулирование аргументом config_path приводит к внедрению команды os.
Локальная атака является обязательным требованием. Эксплойт был обнародован и может быть использован. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.
Показать оригинальное описание (EN)
A vulnerability was found in ChrisChinchilla Vale-MCP up to 0.1.0. Affected by this vulnerability is an unknown functionality of the file src/index.ts of the component HTTP Interface. The manipulation of the argument config_path results in os command injection. Attacking locally is a requirement. The exploit has been made public and could be used. The vendor was contacted early about this disclosure but did not respond in any way.
Характеристики атаки
Последствия
Строка CVSS v4.0