| tiêu đề | GitHub HarmonyOS-mcp-server v0.1.0 Command Injection |
|---|
| Mô tả | The `text` parameter of the `input_text` tool provided by MCP uses the `asyncio.create_subprocess_shell` function for parse. This leads to arbitrary code execution.
# TimeLine
January 16, 2026: Vulnerability discovered
January 19, 2026: Author XixianLiang notified
January 24, 2026: Author confirms the vulnerability exists |
|---|
| Nguồn | ⚠️ https://github.com/scanleale/MCP_sec/blob/main/HarmonyOS-mcp-server%20RCE%20vulnerability.md |
|---|
| Người dùng | Lexpl0it (UID 89340) |
|---|
| Đệ trình | 27/01/2026 07:03 (cách đây 3 các tháng) |
|---|
| Kiểm duyệt | 06/02/2026 21:52 (11 days later) |
|---|
| Trạng thái | được chấp nhận |
|---|
| Mục VulDB | 344766 [XixianLiang HarmonyOS-mcp-server 0.1.0 input_text nâng cao đặc quyền] |
|---|
| điểm | 19 |
|---|