CVE-2025-53372 in node-code-sandbox-mcpinformazioni

Riassunto

di VulDB • 16/06/2026

node-code-sandbox-mcp è un server Model Context Protocol basato su Node.js che avvia contenitori Docker effimeri per eseguire codice JavaScript arbitrario. Prima della versione 1.3.0, il server MCP node-code-sandbox-mcp presenta una vulnerabilità di iniezione di comandi (Command Injection). La vulnerabilità è causata dall'uso non sanificato dei parametri di input all'interno di una chiamata a child_process.execSync, consentendo a un attaccante di iniettare comandi di sistema arbitrari. Lo sfruttamento riuscito può portare all'esecuzione remota di codice (RCE) con i privilegi del processo server sulla macchina host, aggirando la protezione della sandbox per il codice eseguito all'interno dei contenitori Docker. Questa vulnerabilità è risolta nella versione 1.3.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

27/06/2025

Divulgazione

08/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.01053

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!