CVE-2026-59726 in ruflo
Zusammenfassung
von VulDB • 09.07.2026
Ruflo ist ein Meta-Harness für Claude Code und Codex. Vor Version 3.16.3 exponierte die Standard-Docker-Compose-Bereitstellung von Ruflo die MCP-Bridge POST /mcp und POST /mcp/:group Endpunkte ohne Authentifizierung, was einem nicht authentifizierten Netzwerkangriff ermöglichte, tools/call für terminal_execute aufzurufen, eine Shell im Bridge-Container zu erhalten, Provider-API-Schlüssel auszulesen und AgentDB-Learning-Store-Muster zu vergiften. Dieses Problem wurde in Version 3.16.3 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.