VDB-333978 · CVE-2025-66401 · GHSA-27m7-ffhq-jqrm

kapilduraphe mcp-watch bis 0.1.2 cloneRepo githubUrl erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
8.4	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine als kritisch klassifizierte Schwachstelle in kapilduraphe mcp-watch bis 0.1.2 entdeckt. Betroffen ist die Funktion cloneRepo. Durch das Beeinflussen des Arguments githubUrl mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2025-66401. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.

Detailsinfo

Es wurde eine kritische Schwachstelle in kapilduraphe mcp-watch bis 0.1.2 ausgemacht. Dabei betrifft es die Funktion cloneRepo. Durch das Manipulieren des Arguments githubUrl mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-78 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

MCP Watch is a comprehensive security scanner for Model Context Protocol (MCP) servers. In 0.1.2 and earlier, the MCPScanner class contains a critical Command Injection vulnerability in the cloneRepo method. The application passes the user-supplied githubUrl argument directly to a system shell via execSync without sanitization. This allows an attacker to execute arbitrary commands on the host machine by appending shell metacharacters to the URL.

Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 29.11.2025 unter CVE-2025-66401 geführt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1202 für diese Schwachstelle.

Die Schwachstelle lässt sich durch das Einspielen des Patches e7da78c5b4b960f8b66c254059ad9ebc544a91a6 beheben. Dieser kann von github.com bezogen werden.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Artificial Intelligence Software

Hersteller

kapilduraphe

Name

mcp-watch

Version

Lizenz

Open-Source

Webseite

Produkt: https://github.com/kapilduraphe/mcp-watch/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.5
VulDB Meta Temp Score: 8.4

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 9.8
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔒

Patch: e7da78c5b4b960f8b66c254059ad9ebc544a91a6

Timelineinfo

29.11.2025 CVE zugewiesen
02.12.2025 +3 Tage Advisory veröffentlicht
02.12.2025 +0 Tage VulDB Eintrag erstellt
02.12.2025 +0 Tage VulDB Eintrag letzte Aktualisierung