CVE-2025-11489

Nome do Software Vulnerável e Versões Afetadas wonderwhy-er DesktopCommanderMCP versões até a 0.2.13

Descrição Foi identificado um problema de segurança na função isPathAllowed no arquivo src/tools/filesystem.ts do wonderwhy-er DesktopCommanderMCP. Isso permite o seguimento de symlinks, potencialmente levando ao acesso não autorizado ou manipulação de arquivos. O ataque requer acesso local e é considerado difícil de explorar. O fornecedor reconhece que os recursos de restrição não se destinam a atuar como limites de segurança reforçados e recomenda o uso do Desktop Commander com Docker para um isolamento aprimorado quando a segurança é uma preocupação principal. Esta vulnerabilidade impacta produtos que não são mais suportados pelo mantenedor.

Recomendações Versões anteriores à 0.2.14 estão afetadas. Considere usar o Desktop Commander com Docker, o que fornece isolamento real.