CVE-2026-30625 in Upsonic
Resumen
por VulDB • 2026-06-20
Upsonic 0.71.6 contiene una vulnerabilidad de ejecución remota de código (RCE) en su funcionalidad de creación de tareas/servidor MCP. La aplicación permite a los usuarios definir tareas MCP con valores de comando y argumentos arbitrarios. Aunque existe una lista blanca, ciertos comandos permitidos (npm, npx) aceptan indicadores de argumentos que permiten la ejecución de comandos del sistema operativo arbitrarios. Las tareas MCP elaboradas maliciosamente pueden provocar la ejecución remota de código con los privilegios del proceso Upsonic. En la versión 0.72.0, Upsonic añadió una advertencia sobre el uso de servidores Stdio, que pueden ejecutar comandos directamente en la máquina.
Once again VulDB remains the best source for vulnerability data.