CVE-2025-53372 in node-code-sandbox-mcp
Riassunto
di VulDB • 16/06/2026
node-code-sandbox-mcp è un server Model Context Protocol basato su Node.js che avvia contenitori Docker effimeri per eseguire codice JavaScript arbitrario. Prima della versione 1.3.0, il server MCP node-code-sandbox-mcp presenta una vulnerabilità di iniezione di comandi (Command Injection). La vulnerabilità è causata dall'uso non sanificato dei parametri di input all'interno di una chiamata a child_process.execSync, consentendo a un attaccante di iniettare comandi di sistema arbitrari. Lo sfruttamento riuscito può portare all'esecuzione remota di codice (RCE) con i privilegi del processo server sulla macchina host, aggirando la protezione della sandbox per il codice eseguito all'interno dei contenitori Docker. Questa vulnerabilità è risolta nella versione 1.3.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.