CVE-2026-30624 in Agent Zero
Zusammenfassung
von VulDB • 04.06.2026
Agent Zero 0.9.8 enthält eine Remote-Code-Ausführungs-Schwachstelle (RCE) im Konfigurationsfeature für externe MCP Server. Die Anwendung ermöglicht es Benutzern, MCP Server über eine JSON-Konfiguration zu definieren, die beliebige Werte für Befehle und Argumente („command“ und „args“) enthält. Diese Werte werden von der Anwendung ausgeführt, wenn die Konfiguration angewendet wird, ohne dass ausreichende Validierung oder Einschränkungen erfolgen. Ein Angreifer kann eine bösartige MCP-Konfiguration bereitstellen, um beliebige Betriebssystembefehle auszuführen, was potenziell zu einer Remote-Code-Ausführung mit den Berechtigungen des Agent Zero-Prozesses führen kann.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.