Er is een kritieke kwetsbaarheid ontdekt in mcp-package-docs die commando-injectie mogelijk maakt. Dit probleem kan leiden tot ongeoorloofde toegang en mogelijke uitvoering van kwaadaardige code. De kwetsbaarheid maakt gebruik van ongesaniteerde invoer bij het aanroepen van child_process.exec, waardoor een aanvaller willekeurige systeemcommando’s kan injecteren.
Beheerders van systemen die mcp-package-docs gebruiken, moeten onmiddellijk hun systemen controleren en upgraden naar de versie 0.1.28 om de risico’s te minimaliseren.
Overzicht
Het probleem betreft een server die MCP functionaliteiten biedt, waarmee toegang tot pakketdocumentatie mogelijk is over meerdere programmeertalen heen.
Aanbevelingen
- Upgrade naar
mcp-package-docsversie 0.1.28 om de kwetsbaarheid te verhelpen.
Bronnen
- Security Advisory GHSA-vf9j-h32g-2764
- Commit die het probleem oplost
- Blog over het veiligheidsprobleem
- Analyse van de kwetsbaarheid
Vraag en Antwoord
Wat is CVE-2025-54073?
Het betreft een kritieke kwetsbaarheid in de mcp-package-docs server veroorzaakt door onvoldoende gesaniteerde invoer die kan leiden tot commando-injectie.
Welke systemen zijn kwetsbaar voor CVE-2025-54073?
Systemen waarop mcp-package-docs versie minder dan 0.1.27 draait, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de issue is opgelost in versie 0.1.27, en een upgrade naar versie 0.1.28 wordt sterk aanbevolen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke code uitvoeren met dezelfde bevoegdheden als de server waarop de software draait, wat kan leiden tot volledige compromittering van het systeem.
