Wcole3

**Nome do Software Vulnerável e Versões Afetadas** Versões do Godot MCP anteriores à 0.1.1 **Descrição** O Godot MCP é um servidor Model Context Protocol (MCP) para interagir com o mecanismo de jogo Godot. Uma vulnerabilidade de injeção de comando no godot-mcp permite execução remota de código. A função `executeOperation()` passa entrada controlada pelo usuário, como `projectPath`, diretamente para `exec()`, que invoca um shell. Um atacante poderia injetar metacaracteres de shell como $(command) ou &calc para executar comandos arbitrários com os privilégios do processo do servidor MCP. Isso afeta ferramentas que aceitam `projectPath`, incluindo `create scene`, `add node` e `load sprite`. **Recomendações** Atualize para a versão 0.1.1 ou posterior do Godot MCP.