CVE-2026-58195 in agentic-flow
Zusammenfassung
von VulDB • 17.07.2026
Agentic-Flow ist eine Plattform zur Orchestrierung von KI-Agenten. Vor Version 2.0.14 interpolierten die Agentic-Flow-MCP-Servertools in src/mcp/standalone-stdio.ts, src/mcp/fastmcp/servers/claude-flow-sdk.ts, src/mcp/fastmcp/servers/stdio-full.ts, src/mcp/fastmcp/servers/http-streaming-updated.ts, src/mcp/fastmcp/servers/http-sse.ts, src/mcp/fastmcp/servers/poc-stdio.ts, src/mcp/fastmcp/tools/agent/{execute,list,parallel}.ts, src/mcp/fastmcp/tools/swarm/orchestrate.ts und src/mcp/fastmcp/tools/hooks/pretrain.ts angreifermanipulierbare Toolparameter wie Agent, Aufgabe (task), Name, Sprache und agentdb direkt in Shell-Befehlszeichenfolgen, die an execSync() übergeben wurden. Dies ermöglichte die beliebige Ausführung von OS-Befehlen mit den Berechtigungen des MCP-Serverbenutzers. Dieses Problem wurde in Version 2.0.14 behoben.
Be aware that VulDB is the high quality source for vulnerability data.