CVE-2025-53832

Nome do Software Vulnerável e Versões Afetadas Versões do @translated/lara-mcp 0.0.11 e inferiores

Descrição Existe uma vulnerabilidade de injeção de comando no Servidor MCP @translated/lara-mcp devido ao uso não sanitizado de parâmetros de entrada em uma chamada para child process.exec. A exploração bem-sucedida pode levar à execução remota de código sob os privilégios do processo do servidor. O servidor constrói e executa comandos do shell usando entrada de usuário não validada, introduzindo a possibilidade de injeção de metacaracteres do shell. Um atacante pode aproveitar essa vulnerabilidade por meio de injeção de prompt indireta, criando entrada maliciosa dentro de arquivos ou fontes de dados remotas processadas pelo servidor. Isso permite a execução arbitrária de comandos na máquina host.

Recomendações Versões do @translated/lara-mcp anteriores a 0.0.12: Evite usar child process.exec com entrada não confiável. Em vez disso, use uma API mais segura, como child process.execFile, que permite passar argumentos como um array separado, evitando totalmente a interpretação do shell. Como exemplo, substitua execAsync(curl -L "${tmx url}" -o "${tempFilePath}"); por execAsync("curl", "-L", tmx url, "-o", tempFilePath);.