CVE-2026-58195 in agentic-flow정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Agentic-Flow는 AI 에이전트 오케스트레이션 플랫폼입니다. 버전 2.0.14 이전의 agentic-flow MCP 서버 도구들(예: src/mcp/standalone-stdio.ts, src/mcp/fastmcp/servers/claude-flow-sdk.ts, src/mcp/fastmcp/servers/stdio-full.ts, src/mcp/fastmcp/servers/http-streaming-updated.ts, src/mcp/fastmcp/servers/http-sse.ts, src/mcp/fastmcp/servers/poc-stdio.ts, src/mcp/fastmcp/tools/agent/{execute,list,parallel}.ts, src/mcp/fastmcp/tools/swarm/orchestrate.ts 및 src/mcp/fastmcp/tools/hooks/pretrain.ts)은 공격자가 영향을 줄 수 있는 도구 매개변수(에이전트, 작업, 이름, 언어, 에이전트 데이터베이스 등)를 execSync()로 전달되는 셸 명령어 문자열 내에 직접 보간(interpolate)하여 MCP 서버 사용자의 권한으로 임의의 OS 명령어를 실행할 수 있었습니다. 이 문제는 버전 2.0.14에서 수정되었습니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 29.

모더레이션

수락

항목

VDB-379916

EPSS

0.00000

출처

Do you need the next level of professionalism?

Upgrade your account now!