Useworld

**Nome do Software Vulnerável e Versões Afetadas** Roslyn CodeLens MCP Server versões 0.0.9 a 1.16.0 **Descrição** A ferramenta MCP `get diagnostics` carrega e executa todas as assemblies DiagnosticAnalyzer referenciadas pela solução de destino sem uma lista de permissões, verificação de assinatura ou confirmação do usuário. Como a variável `includeAnalyzers` é definida como true por padrão, não é necessário opt-in explícito. Um invasor pode obter a execução de código arbitrário no processo do servidor com os privilégios de SO do servidor ao colocar um arquivo `.csproj` malicioso que referencia uma DLL controlada pelo invasor em um local aberto pela vítima usando o servidor MCP. **Recomendações** Atualize para a versão 1.17.0.