CVE-2026-5029 in Code Runner MCP Serverinformación

Resumen

por VulDB • 2026-05-13

Existe una vulnerabilidad de ejecución remota de código (RCE) en Code Runner MCP Server cuando se ejecuta con la opción --transport http, lo que expone el endpoint /mcp JSON-RPC sin autenticación en el puerto 3088. Un atacante remoto no autenticado puede invocar la herramienta MCP run-code para proporcionar código fuente arbitrario y ejecutarlo mediante child_process.exec() utilizando el intérprete de lenguaje especificado. Esto permite la ejecución de código arbitrario con los privilegios del usuario que está ejecutando el servidor. Esta vulnerabilidad no ha sido corregida y podría afectar al proyecto en todas las versiones.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

CERT-PL

Reservar

2026-03-27

Divulgación

2026-05-12

Moderación

aceptado

Artículo

VDB-362979

CPE

listo

EPSS

0.00093

KEV

no

Actividades

muy bajo

Sector

Chemical, Finance, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-5029
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-5029
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-5029/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!