CVE-2026-45555 in roslyn-codelens-mcp
요약
\~에 의해 VulDB • 2026. 05. 30.
Roslyn CodeLens MCP Server는 .NET 코드베이스에 대한 시맨틱 코드 인텔리전스를 제공하는 Roslyn 기반 MCP 서버입니다. 0.0.9부터 1.17.0까지의 버전에서 `get_diagnostics` MCP 도구는 대상 솔루션에서 참조하는 모든 `DiagnosticAnalyzer` 어셈블리를 허용 목록(allowlist), 서명 확인, 또는 사용자 확인 없이 로드하고 실행합니다. `includeAnalyzers`는 기본적으로 `true`로 설정되어 있으므로 명시적인 동의(opt-in)가 필요하지 않습니다. 공격자가 피해자가 MCP 서버와 함께 열도록 설정된 위치에 공격자가 제어하는 DLL을 참조하는 악성 `.csproj` 파일을 배치하면, 서버 프로세스 내에서 서버의 OS 권한으로 임의 코드 실행(arbitrary code execution)을 달성할 수 있습니다. 이 취약점은 1.17.0에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.