Eternity

**Nome do Software Vulnerável e Versões Afetadas** ArtMin96 yii2-mcp-server versão 1.0.2 **Descrição** Uma falha no componente MCP Interface, especificamente na função `yii command help/yii execute command()` do arquivo `src/index.ts`, permite a injeção remota de comandos do sistema operacional (OS command injection). Isso ocorre quando uma manipulação é executada, podendo levar ao comprometimento total do servidor. **Recomendações** Remova a versão 1.0.2. Como medida paliativa temporária, restrinja o acesso à função `yii command help/yii execute command()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** astro-mcp-server versões anteriores a 1.1.2 **Descrição** Uma falha no componente MCP Tool Query Construction, especificamente em uma função no arquivo `src/index.ts`, permite a realização de SQL injection remotamente. Isso ocorre quando o argumento `request.params.arguments` é manipulado. SQL injection é uma técnica onde um invasor insere código SQL malicioso em uma consulta, potencialmente permitindo a visualização, modificação ou exclusão de dados do banco de dados. **Recomendações** Atualize para a versão 1.1.2 ou posterior. Como medida paliativa temporária, restrinja ou valide a entrada passada para o argumento `request.params.arguments` para evitar a execução de código SQL malicioso.

**Nome do Software Vulnerável e Versões Afetadas** Dayoooun hwpx-mcp versão 0.2.0 **Descrição** Um problema existe no componente MCP Interface dentro do arquivo mcp-server/src/index.ts. A manipulação do argumento `output path` nas funções `save document()`, `export to text()` e `export to html()` permite a travessia de diretório (path traversal), que é um método usado para acessar arquivos e diretórios armazenados fora da pasta pretendida. Esta falha permite a exploração remota. **Recomendações** Como medida paliativa temporária, considere restringir o uso do argumento `output path` nas funções `save document()`, `export to text()` e `export to html()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Flux159 mcp-game-asset-gen versão 0.1.0 **Description** Um problema de path traversal existe no componente MCP Interface, dentro da função `image to 3d async()` do arquivo `src/index.ts`. Esta falha permite que atacantes remotos realizem a travessia de diretórios ao manipular o argumento `statusFile`. **Recommendations** Como medida paliativa temporária, restrinja o uso da função `image to 3d async()` ou valide rigorosamente o argumento `statusFile` para evitar o acesso não autorizado ao sistema de arquivos. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sunwood-ai-labs command-executor-mcp-server versões anteriores a 0.1.1 **Descrição** Uma falha de injeção de comando de SO existe no componente MCP Interface, dentro da função `execute command()` do arquivo `src/index.ts`. Isso permite a execução remota de código (RCE), que é a capacidade de um invasor executar comandos arbitrários em uma máquina alvo. **Recomendações** Como medida paliativa temporária, considere restringir o uso da função `execute command()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** VetCoders mcp-server-semgrep versão 1.0.0 **Descrição** Uma injeção de comando de SO remota é possível no componente MCP Interface no arquivo `src/index.ts`. O problema ocorre quando o argumento `ID` é manipulado, afetando as funções `analyze results()`, `filter results()`, `export results()`, `compare results()`, `scan directory()` e `create rule()`. **Recomendações** Atualizar para a versão 1.0.1.

**Nome do Software Vulnerável e Versões Afetadas** ZachHandley ZMCPTools versões anteriores a 0.2.3 **Descrição** Um problema de path traversal existe no componente MCP Log Resource Handler, no arquivo src/managers/ResourceManager.ts. A falha permite a exploração remota através da manipulação do argumento `dirname`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** mcp-dnstwist versões anteriores a 1.0.5 **Descrição** Uma fraqueza no componente MCP Interface permite a injeção de comandos do sistema operacional (OS command injection) remotamente. O problema reside na função `fuzz domain()` localizada no arquivo `src/index.ts`, onde a manipulação inadequada do argumento `Request` permite a execução de comandos arbitrários do sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à função `fuzz domain()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Algovate xhs-mcp versão 0.8.11 **Descrição** Um problema existe no componente MCP Interface, na função `xhs publish content()` do arquivo `src/server/mcp.server.ts`. Um invasor remoto pode realizar server-side request forgery (SSRF)—uma falha que permite que um servidor seja coagido a fazer requisições não pretendidas—através da manipulação do argumento `media paths`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o uso da função `xhs publish content()` ou valide rigorosamente o argumento `media paths` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** PolarVista xcode-mcp-server versão 1.0.0 **Descrição** Um problema de injeção de comando de SO existe no componente MCP Interface, dentro da função `build project/run tests` do arquivo `src/index.ts`. Esta falha permite que um invasor remoto execute comandos arbitrários do sistema operacional ao manipular o argumento `Request`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o acesso à função `build project/run tests` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-500WF-WT versões até 20250511 **Descrição** Foi identificada uma vulnerabilidade crítica, afetando a função `sub 456DE8` do arquivo "/msp info.htm?flag=cmd" no componente "/usr/sbin/jhttpd". A manipulação do argumento `cmd` resulta em injeção de comandos. Esta vulnerabilidade pode ser explorada remotamente. **Recomendações** Para as versões do D-Link DI-500WF-WT até 20250511, como solução temporária, considere restringir o acesso ao endpoint "/msp info.htm?flag=cmd" para minimizar o risco de exploração. Evite utilizar o argumento `cmd` no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.