CVE-2026-57860 in ForgeCodeinformazioni

Riassunto

di VulDB • 17/07/2026

ForgeCode (tailcallhq/forgecode), una CLI per la programmazione assistita da intelligenza artificiale, carica ed esegue automaticamente i server MCP definiti nel file .mcp.json di un repository all'avvio senza richiedere conferma all'utente. Un repository malevolo può fornire un file .mcp.json manipolato in cui le voci mcpServers specificano valori arbitrari per command e args (ad esempio, command: bash con args: ['-c', 'touch /tmp/pwned']). Quando un utente esegue la CLI forge all'interno di un repository clonato non attendibile, i comandi specificati vengono avviati con i privilegi dell'utente che ha invocato il comando, causando l'esecuzione arbitraria di codice. Ciò fornisce una primitiva affidabile per l'iniziale accesso e la persistenza contro gli sviluppatori che valutano repository non attendibili utilizzando ForgeCode.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

25/06/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!