Smallw

**Nome do Software Vulnerável e Versões Afetadas** egtai gmx-vmd-mcp versões anteriores a 0.1.0 **Descrição** Uma falha de injeção de comando existe no componente VMD Launch Handler, dentro da função `launch vmd gui tool()` do arquivo `mcp server.py`. Um invasor remoto pode explorar isso manipulando os argumentos `structure file` ou `trajectory file`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** edvardlindelof notes-mcp versões anteriores a 0.1.5 **Descrição** Um problema de path traversal existe no arquivo `notes mcp.py`. Atacantes remotos podem explorar isso manipulando o argumento `root dir/path` para acessar arquivos e diretórios fora da pasta pretendida. **Recomendações** Atualize para uma versão posterior a 0.1.4. Como medida paliativa temporária, restrinja ou valide o argumento `root dir/path` para evitar o acesso não autorizado a diretórios.

**Nome do Software Vulnerável e Versões Afetadas** ef10007 MLOps MCP versão 1.0.0 **Descrição** Um problema de path traversal existe na ferramenta `save file` dentro do arquivo `fastmcp server.py`. Um invasor remoto pode manipular o argumento `filename/destination` para acessar ou sobrescrever arquivos fora do diretório pretendido. Path traversal é uma vulnerabilidade que permite a um invasor ler ou gravar arquivos no servidor usando sequências de caracteres especiais, como "../", para navegar no sistema de arquivos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à ferramenta `save file` ou evite usar o argumento `filename/destination` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** eghuzefa engineer-your-data versões anteriores a 0.1.4 **Descrição** Um problema de path traversal existe no arquivo `src/server.py`. A manipulação do argumento `WORKSPACE PATH` dentro das funções `read file()`, `write file()`, `list files()` e `file inf()` permite que um invasor remoto acesse ou modifique arquivos fora do diretório pretendido. Path traversal é uma técnica que permite a um invasor ler ou gravar arquivos no servidor manipulando caminhos de arquivos usando sequências especiais como dot-dot-slash (../). **Recomendações** Como medida paliativa temporária, restrinja o acesso às funções `read file()`, `write file()`, `list files()` e `file inf()` ou evite usar o argumento `WORKSPACE PATH` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** duartium papers-mcp-server versão 9ceb3812a6458ba7922ca24a7406f8807bc55598 **Descrição** Um problema de path traversal (travessia de diretório) existe na função `search papers()` dentro do arquivo `src/main.py`. Isso ocorre quando o argumento `topic` é manipulado, permitindo que um invasor remoto acesse arquivos e diretórios fora da pasta pretendida. **Recomendações** Como medida paliativa temporária, restrinja ou valide a entrada para o argumento `topic` na função `search papers()` para evitar a travessia de diretório. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** dubydu sqlite-mcp versões anteriores a 0.1.1 **Descrição** Uma falha na função `extract to json()` no arquivo `src/entry.py` permite a ocorrência de SQL injection remoto. Isso acontece quando o argumento `output filename` é manipulado, permitindo que um invasor execute comandos SQL não autorizados. **Recomendações** Aplique o patch a5580cb992f4f6c308c9ffe6442b2e76709db548. Como medida paliativa temporária, restrinja ou evite o uso do argumento `output filename` na função `extract to json()`.

**Nome do Software Vulnerável e Versões Afetadas** dvladimirov MCP versões anteriores a 0.1.1 **Descrição** Uma falha de injeção de comando existe no componente Git Search API, dentro da função `GitSearchRequest()` do arquivo `mcp server.py`. Um invasor remoto pode executar isso manipulando os argumentos `repo url` ou `pattern`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à função `GitSearchRequest()` ou evite usar os argumentos `repo url` e `pattern` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** dmitryglhf mcp-url-downloader versões anteriores a 4b8cf2de55f6e8864a77d108e8a94a5b8e4394c6 **Descrição** Um problema na função ` validate url safe()` dentro do arquivo `src/mcp url downloader/server.py` permite a falsificação de solicitação do lado do servidor (SSRF), uma falha onde um invasor pode induzir o servidor a fazer solicitações para um local não pretendido. Isso pode ser executado remotamente através da manipulação do argumento `url`. **Recomendações** Atualize para uma versão posterior a 4b8cf2de55f6e8864a77d108e8a94a5b8e4394c6. Como medida paliativa temporária, restrinja o acesso à função ` validate url safe()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** douinc mkdocs-mcp-plugin versões anteriores a 0.4.2 **Descrição** Um problema de path traversal existe nas funções `read document()` e `list documents()` dentro do arquivo `server.py`. Um invasor remoto pode explorar isso manipulando os argumentos `docs dir` ou `file path` para acessar arquivos fora do diretório pretendido. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso às funções `read document()` e `list documents()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** disler aider-mcp-server versões anteriores a b2516fa466d0d851932da92ee6d0e66946db9efc **Descrição** Uma falha de injeção de comando existe no componente `aider ai code` dentro do arquivo `src/aider mcp server/server.py`. Este problema ocorre devido à manipulação inadequada do argumento `relative editable files`, permitindo que atacantes remotos executem comandos arbitrários. **Recomendações** Atualize para uma versão posterior a b2516fa466d0d851932da92ee6d0e66946db9efc. Como medida paliativa temporária, restrinja ou evite o uso do argumento `relative editable files` até que uma correção formal seja aplicada.