VDB-353907 · CVE-2026-5023 · EUVD-2026-16966

DeDeveloper23 codebase-mcp 直到 3ec749d237dd8eabbeef48657cf917275792fde6 RepoMix Command src/tools/codebase.ts getCodebase/getRemoteCodebase/saveCodebase 权限提升

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
4.8	$0-$5k	1.17

摘要信息

在DeDeveloper23 codebase-mcp 直到 3ec749d237dd8eabbeef48657cf917275792fde6 中已发现分类为致命的漏洞。受此漏洞影响的是功能getCodebase/getRemoteCodebase/saveCodebase文件：src/tools/codebase.ts的组件RepoMix Command Handler。当被操控时，会导致权限提升。此安全漏洞编号为CVE-2026-5023。攻击必须在本地进行。此外还有一个漏洞可利用。此产品通过滚动发布方式持续交付，因此无法提供受影响或已更新版本的具体信息。

细节信息

在DeDeveloper23 codebase-mcp 直到 3ec749d237dd8eabbeef48657cf917275792fde6 中已发现分类为致命的漏洞。受此漏洞影响的是功能getCodebase/getRemoteCodebase/saveCodebase文件：src/tools/codebase.ts的组件RepoMix Command Handler。当被操控时，会导致权限提升。使用CWE来声明会导致 CWE-78 的问题。此漏洞的脆弱性所发布。该通告可在 github.com 下载。

此安全漏洞编号为CVE-2026-5023。攻击必须在本地进行。有技术细节可用。该漏洞的普及率低于常规水平。此外还有一个漏洞可利用。该漏洞利用已公开，可能会被利用。目前，大约为美元 $0-$5k。 MITRE ATT&CK 项目将 T1202 作为攻击技术。

若有长度，则其被标记为概念验证。可在github.com获取该漏洞利用代码。

此产品通过滚动发布方式持续交付，因此无法提供受影响或已更新版本的具体信息。