Skywings

**Nome do Software Vulnerável e Versões Afetadas** ahujasid blender-mcp versões anteriores a 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b **Description** A injeção remota de código é possível através da manipulação do argumento `code` dentro da função `execute blender code()` localizada no arquivo `/src/blender mcp/server.py`. **Recommendations** Atualize para uma versão posterior a 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Como medida paliativa temporária, restrinja o acesso à função `execute blender code()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** ahujasid blender-mcp versões anteriores a 5b37be25242e73dc4cf1328974d30458b9e5d67e **Descrição** Um problema de injeção existe na função `Open()` dentro do arquivo `src/blender mcp/server.py`. Isso ocorre quando o argumento `input image url` é manipulado, permitindo a exploração remota. **Recomendações** Implantar a correção 5b37be25242e73dc4cf1328974d30458b9e5d67e. Como medida paliativa temporária, restrinja o uso do argumento `input image url` na função `Open()`.

**Nome do Software Vulnerável e Versões Afetadas** ahujasid blender-mcp versões anteriores a 5b37be25242e73dc4cf1328974d30458b9e5d67e **Descrição** Uma falsificação de solicitação do lado do servidor (Server-side request forgery) pode ser executada remotamente através do componente ZIP File Handler. O problema reside na função `requests.get()` no arquivo `src/blender mcp/server.py`, onde a manipulação do argumento `zip file url` permite o ataque. **Recomendações** Aplicar o patch 5b37be25242e73dc4cf1328974d30458b9e5d67e. Como medida paliativa temporária, restrinja o acesso ao componente ZIP File Handler ou evite o uso do argumento `zip file url` na função `requests.get()`.

**Nome do Software Vulnerável e Versões Afetadas** johnhuang316 code-index-mcp versões anteriores a 2.14.1 **Descrição** Uma fraqueza existe na função `is safe regex pattern()` dentro do componente `search code advanced`. Um invasor remoto pode manipular o argumento `regex` para causar complexidade ineficiente de expressão regular, potencialmente levando a uma negação de serviço. **Recomendações** Atualize para a versão 2.14.1. Como medida paliativa temporária, restrinja o acesso à função `is safe regex pattern()` até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** wonderwhy-er DesktopCommanderMCP versão 0.2.37 **Description** Um problema existe no componente `read file` dentro da função `readFileFromUrl()` do arquivo `src/tools/filesystem.ts`. A manipulação remota do argumento `url` pode levar ao server-side request forgery (SSRF), uma condição na qual um servidor é coagido a fazer solicitações não pretendidas para um destino arbitrário. **Recommendations** Aplicar o patch 53699bebba9950047bca16ac4dc8f0568f596aaa na versão 0.2.37.

**Nome do Software Vulnerável e Versões Afetadas** wonderwhy-er DesktopCommanderMCP versões anteriores a 0.2.39 **Descrição** Uma falha de segurança existe no componente `start search` dentro do arquivo `src/search-manager.ts`. Um invasor remoto pode manipular o argumento `SearchResult[]` para causar complexidade ineficiente de expressão regular, o que pode levar a uma negação de serviço através do consumo excessivo de recursos. **Recomendações** Atualizar para a versão 0.2.39.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenOps anteriores à 0.6.11 **Descrição** O software permite execução remota de código dentro do bloco Terraform. **Recomendações** Atualize para a versão 0.6.11 ou posterior.