CVE-2026-58195 in agentic-flowinfo

Zusammenfassung

von VulDB • 17.07.2026

Agentic-Flow ist eine Plattform zur Orchestrierung von KI-Agenten. Vor Version 2.0.14 interpolierten die Agentic-Flow-MCP-Servertools in src/mcp/standalone-stdio.ts, src/mcp/fastmcp/servers/claude-flow-sdk.ts, src/mcp/fastmcp/servers/stdio-full.ts, src/mcp/fastmcp/servers/http-streaming-updated.ts, src/mcp/fastmcp/servers/http-sse.ts, src/mcp/fastmcp/servers/poc-stdio.ts, src/mcp/fastmcp/tools/agent/{execute,list,parallel}.ts, src/mcp/fastmcp/tools/swarm/orchestrate.ts und src/mcp/fastmcp/tools/hooks/pretrain.ts angreifermanipulierbare Toolparameter wie Agent, Aufgabe (task), Name, Sprache und agentdb direkt in Shell-Befehlszeichenfolgen, die an execSync() übergeben wurden. Dies ermöglichte die beliebige Ausführung von OS-Befehlen mit den Berechtigungen des MCP-Serverbenutzers. Dieses Problem wurde in Version 2.0.14 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

29.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379916

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!