Bigw

**Nome do Software Vulnerável e Versões Afetadas** Divyanshu-hash GitPilot-MCP versões até 9ed9f153ba4158a2ad230ee4871b25130da29ffd **Descrição** A injeção de comando remoto é possível através da manipulação do argumento `command`. Este problema afeta a função `repo path()` no arquivo main.py, permitindo que um invasor execute comandos arbitrários remotamente. **Recomendações** Como medida paliativa temporária, considere restringir o uso da função `repo path()` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** devlikeapro WAHA versões anteriores a 2026.3.5 **Descrição** Uma falha no componente API Request Handler, especificamente no arquivo `src/api/media.controller.ts`, permite a falsificação de solicitação do lado do servidor (SSRF). SSRF é uma falha que permite que um invasor induza a aplicação do lado do servidor a fazer solicitações para um local não pretendido. **Recomendações** Atualize para uma versão posterior a 2026.3.4. Como medida paliativa temporária, restrinja o acesso ao arquivo `src/api/media.controller.ts` ou aos endpoints de API associados para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions Song-Li cross browser up to ca690f0fe6954fd9bcda36d071b68ed8682a786a Description Uma vulnerabilidade existe no Song-Li cross browser, potencialmente permitindo injeção SQL. A questão afeta uma parte desconhecida do arquivo `flask/uniquemachine app.py` dentro do Endpoint details. A manipulação do argumento `ID` pode acionar a vulnerabilidade e ela pode ser explorada remotamente. A exploração foi divulgada publicamente. Recommendations At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Name of the Vulnerable Software and Affected Versions mixelpixx Google-Research-MCP (versões afetadas não especificadas) Description Existe uma falha de segurança na função `extractContent` do arquivo `src/services/content-extractor.service.ts` dentro do componente Model Context Protocol Handler. A manipulação do argumento `URL` pode levar à falsificação de solicitação do lado do servidor. Este ataque pode ser iniciado remotamente e foi divulgado publicamente. Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions AlejandroArciniegas mcp-data-vis (versões afetadas não especificadas) Description Existe uma falha de injeção SQL na função `Request` dentro do arquivo `src/servers/database/server.js` do componente MCP Handler. Essa manipulação pode ser iniciada remotamente. A exploração foi divulgada publicamente. O produto usa um modelo de lançamento contínuo, portanto, informações de versão específicas não estão disponíveis. Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions huimeicloud hm editor versões até 2.2.3 Description Uma falha foi determinada na função `client.get` dentro do componente image-to-base64, especificamente no arquivo `src/mcp-server.js`. A manipulação do argumento `url` pode resultar em falsificação de solicitação do lado do servidor (SSRF). Esta falha é remotamente explorável. Os detalhes da falha foram divulgados publicamente e o fornecedor foi notificado, mas não respondeu. Recommendations Atualize o huimeicloud hm editor para uma versão posterior a 2.2.3.

Name of the Vulnerable Software and Affected Versions priyankark a11y-mcp versões até 1.0.5 Description Uma falha existe na função A11yServer dentro do arquivo src/index.js do priyankark a11y-mcp. Esta questão permite a falsificação de solicitação do lado do servidor quando iniciada localmente. O exploit está publicamente disponível. O produto segue um modelo de lançamento contínuo, portanto, detalhes específicos da versão para correções não estão disponíveis. Recommendations Atualize para a versão 1.0.6 para resolver o problema.