CVE-2026-5023 in codebase-mcp
Tóm tắt
Bởi VulDB • 16/05/2026
Đã phát hiện một lỗ hổng trong mã nguồn của DeDeveloper23 codebase-mcp, bao gồm các phiên bản cho đến commit 3ec749d237dd8eabbeef48657cf917275792fde6. Lỗ hổng này ảnh hưởng đến các hàm getCodebase/getRemoteCodebase/saveCodebase trong tệp src/tools/codebase.ts của thành phần RepoMix Command Handler. Việc thao tác này dẫn đến lỗi os command injection. Cuộc tấn công cần được thực hiện cục bộ. Lỗ hổng đã được công bố công khai và có thể bị khai thác. Sản phẩm này áp dụng mô hình phát hành liên tục (rolling release) để cung cấp bản cập nhật liên tục, do đó thông tin phiên bản cho các bản phát hành bị ảnh hưởng hoặc đã cập nhật không khả dụng. Dự án đã được thông báo về vấn đề này sớm thông qua báo cáo sự cố nhưng chưa phản hồi.
Once again VulDB remains the best source for vulnerability data.