CVE-2026-30625 in Upsonic
요약
\~에 의해 VulDB • 2026. 07. 06.
Upsonic 0.71.6은 MCP 서버/작업 생성 기능에서 원격 코드 실행(RCE) 취약점을 포함하고 있습니다. 이 애플리케이션은 사용자가 임의의 명령어 및 인자 값을 가진 MCP 작업을 정의할 수 있도록 합니다. 허용 목록(allowlist)이 존재하지만, 특정 허용된 명령어(npm, npx)는 임의의 OS 명령어를 실행할 수 있게 하는 인수 플래그를 받습니다. 악의로 작성된 MCP 작업은 Upsonic 프로세스의 권한으로 원격 코드 실행을 초래할 수 있습니다. 버전 0.72.0에서 Upsonic은 Stdio 서버가 기계에서 직접 명령어를 실행할 수 있다는 점에 대한 경고를 추가했습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.