Mida

**Nome do Software Vulnerável e Versões Afetadas** AlejandroArciniegas mcp-data-vis versões até de5a51525a69822290eaee569a1ab447b490746d **Descrição** Um problema no componente HTTP Request Handler permite a falsificação de solicitação do lado do servidor (server-side request forgery), que ocorre quando um invasor consegue induzir o servidor a fazer solicitações para um local não pretendido. Isso pode ser acionado remotamente através da função `axios()` localizada no arquivo `src/servers/web-scraper/server.js`. **Recomendações** Como medida paliativa temporária, considere restringir o uso da função `axios()` no arquivo `src/servers/web-scraper/server.js` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** JoeCastrom mcp-chat-studio versões anteriores a 1.5.1 **Descrição** Um problema existe no componente LLM Models API dentro do arquivo 'server/routes/llm.js'. A manipulação do argumento `req.query.base url` permite a ocorrência de server-side request forgery, que é uma falha que permite a um invasor induzir a aplicação do lado do servidor a fazer requisições para um local não pretendido. Isso pode ser explorado remotamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** dexhunter kaggle-mcp versões anteriores a 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d **Descrição** Um problema de path traversal existe na função `prepare kaggle dataset()` dentro do arquivo `src/kaggle mcp/server.py`. Esta falha permite que um invasor remoto realize a travessia de diretórios ao manipular o argumento `competition id`. Path traversal é uma técnica que permite a um invasor acessar arquivos e diretórios armazenados fora da pasta raiz do servidor, manipulando variáveis que referenciam arquivos com sequências de ponto-ponto-barra (../). **Recomendações** Atualize o dexhunter kaggle-mcp para uma versão posterior a 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d. Como medida paliativa temporária, restrinja ou valide a entrada fornecida ao argumento `competition id` na função `prepare kaggle dataset()` para evitar o uso de sequências de travessia de caminho.

**Nome do Software Vulnerável e Versões Afetadas** dh1011 auto-favicon versões até f189116a9259950c2393f114dbcb94dde0ad864b **Descrição** Um problema no componente MCP Tool permite que atacantes remotos realizem server-side request forgery (SSRF), que é uma falha onde um servidor é enganado para fazer solicitações não autorizadas a recursos internos ou externos. Isso ocorre por meio da manipulação do argumento `image url` dentro da função `generate favicon from url()` localizada no arquivo 'src/auto favicon/server.py'. **Recomendações** Como medida paliativa temporária, restrinja o acesso ou evite usar a função `generate favicon from url()` até que uma correção seja fornecida.

**Nome do Software Vulnerável e Versões Afetadas** chatgpt-mcp-server versões anteriores a 0.1.1 **Descrição** Uma falha de injeção de comando de SO existe no componente MCP/HTTP dentro do arquivo `src/services/docker.service.ts`. Este problema permite que atacantes remotos não autenticados alcancem a execução remota de código através do componente de serviço Docker, que é projetado para fazer a ponte entre servidores Model Context Protocol (MCP) e containers Docker. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao componente `src/services/docker.service.ts` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** choieastsea simple-openstack-mcp versões anteriores a 767b2f4a8154cca344344b9725537a58399e6036 **Descrição** Uma falha de injeção de comando de SO existe que permite a atacantes remotos executarem comandos arbitrários. O problema está localizado na função `exec openstack()` do arquivo `server.py`. Esta falha está atualmente sob exploração ativa. **Recomendações** Remova o pacote imediatamente. Como medida paliativa temporária, considere restringir o uso da função `exec openstack()` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Intina47 context-sync versões anteriores a 2.0.0 **Descrição** Uma falha no componente Git Integration, especificamente no arquivo `src/git-integration.ts`, permite a injeção remota de comandos do sistema operacional (OS command injection). Isso ocorre quando um invasor envia dados especialmente manipulados que o sistema executa como um comando de nível de sistema. **Recomendações** Atualize para uma versão posterior a 2.0.0. Como medida paliativa temporária, restrinja o acesso ao componente Git Integration para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** AgentDeskAI browser-tools-mcp versões anteriores a 1.2.1 **Descrição** Existe um problema no processamento do arquivo `browser-tools-server/browser-connector.ts` que permite que um invasor remoto realize a injeção de comandos do SO, que consiste na execução de comandos arbitrários do sistema operacional no servidor. **Recomendações** Atualize para uma versão posterior a 1.2.0. Como medida paliativa temporária, restrinja o acesso ao arquivo `browser-tools-server/browser-connector.ts` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** BidingCC BuildingAI versões anteriores a 26.0.2 **Descrição** A API de Upload Remoto contém um problema de server-side request forgery (SSRF). Isso ocorre quando a função `uploadRemoteFile()` no arquivo `packages/core/src/modules/upload/services/file-storage.service.ts` não manipula adequadamente o argumento `url`, permitindo que um invasor remoto inicie solicitações não autorizadas a partir do servidor. **Recomendações** Atualize para uma versão posterior à 26.0.1. Como medida paliativa temporária, restrinja o acesso à função `uploadRemoteFile()` até que uma correção seja aplicada.