Brucejqs

**Nome do Software Vulnerável e Versões Afetadas** puchunjie doc-tools-mcp versão 1.0.18 **Descrição** Uma falha de path traversal existe no componente MCP Interface, no arquivo `src/mcp-server.ts`. Atacantes remotos podem explorar isso manipulando o argumento `filePath` utilizado nas funções `create document()` e `open document()`. Path traversal é uma técnica que permite a um atacante acessar arquivos e diretórios fora da pasta pretendida usando sequências de caracteres especiais. **Recomendações** Como medida paliativa temporária, restrinja ou valide o argumento `filePath` utilizado nas funções `create document()` e `open document()` para evitar o acesso não autorizado a diretórios. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** ravenwits mcp-server-arangodb versões anteriores a 0.4.8 **Descrição** Um problema de path traversal existe no componente MCP Interface, especificamente na função `arango backup()` do arquivo `src/tools.ts`. Um invasor remoto pode manipular o argumento `outputDir` para acessar ou percorrer diretórios fora do caminho pretendido. **Recomendações** Atualize para uma versão posterior a 0.4.7. Como medida paliativa temporária, restrinja ou valide a entrada fornecida ao argumento `outputDir` na função `arango backup()`.

**Nome do Software Vulnerável e Versões Afetadas** ryanjoachim mcp-rtfm versão 0.1.0 **Description** Um problema de path traversal existe no componente MCP Interface. Um invasor remoto pode manipular o argumento `docFile` dentro das funções `get doc content()`, `read doc()` e `update doc()` para acessar ou modificar arquivos fora do diretório pretendido. **Recommendations** Aplicar o patch e6f0686fc36012f78236e7fed172c81444904b0b na versão 0.1.0.

**Nome do Software Vulnerável e Versões Afetadas** pixelsock directus-mcp versão 1.0.0 **Description** Uma falha no componente MCP Interface permite a ocorrência de server-side request forgery (SSRF), uma condição na qual um invasor pode induzir o servidor a fazer requisições para um local não pretendido. Isso ocorre por meio da manipulação do argumento `fileUrl` dentro da função `validateUrl()` localizada no arquivo index.ts. O ataque pode ser executado remotamente. **Recommendations** Como medida paliativa temporária, restrinja o uso da função `validateUrl()` até que o pull request pendente seja aceito e uma correção seja lançada.

**Nome do Software Vulnerável e Versões Afetadas** privsim mcp-test-runner versão 0.2.0 **Descrição** Uma falha no componente MCP Interface permite a injeção remota de comandos do sistema operacional. Isso ocorre por meio da manipulação do argumento `command` dentro da função `child process.spawn()` localizada no arquivo `src/index.ts`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à função `child process.spawn()` ou ao componente MCP Interface para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** pskill9 website-downloader versões anteriores a 0.1.1 **Descrição** Um problema de injeção de comando de SO existe no componente MCP Interface, dentro da função `download website()` do arquivo `src/index.ts`. Um invasor remoto pode disparar isso manipulando o argumento `outputPath`. A injeção de comando de SO é uma falha que permite que um invasor execute comandos arbitrários do sistema operacional no servidor. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o uso do argumento `outputPath` na função `download website()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ruvnet sublinear-time-solver versão 1.5.0 **Descrição** Um problema de path traversal existe no componente MCP Interface. Um invasor remoto pode manipular a função `export state()` no arquivo `src/consciousness-explorer/mcp/server.js` para acessar arquivos e diretórios fora da pasta pretendida. Path traversal é uma técnica que permite a um invasor ler ou gravar arquivos no servidor manipulando caminhos de arquivos. **Recomendações** Como medida paliativa temporária, restrinja o acesso à função `export state()` na MCP Interface até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** r-huijts mcp-server-rijksmuseum versões anteriores a 1.0.5 **Descrição** Uma falha no componente MCP Interface permite a injeção remota de comandos do sistema operacional. O problema existe na função `open image in browser()` localizada no arquivo `src/index.ts`, onde a manipulação da variável `imageUrl` pode ser usada para executar comandos arbitrários do sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o uso da função `open image in browser()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** 8nite metatrader-4-mcp versão 1.0.0 **Descrição** Um problema de path traversal existe no componente `sync ea from file` dentro da função `CallToolRequestSchema()` localizada no arquivo `src/index.ts`. Atacantes remotos podem explorar isso manipulando o argumento `ea name`. Path traversal é uma técnica que permite a um invasor acessar arquivos e diretórios armazenados fora da pasta raiz do servidor, manipulando variáveis que referenciam arquivos com sequências de ponto-ponto-barra (../). **Recomendações** Como medida paliativa temporária, restrinja o uso do argumento `ea name` na função `CallToolRequestSchema()` para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.