CVE-2025-35028

Nome do Software Vulnerável e Versões Afetadas Versões do HexStrike AI MCP Server anteriores ao commit 2f3a5512

Descrição O HexStrike AI MCP Server está suscetível a um problema de injeção de comando. Ao fornecer um argumento de linha de comando começando com um ponto e vírgula (;) para um endpoint de API criado pela classe EnhancedCommandExecutor, um comando composto é executado diretamente com privilégios de root. O servidor não sanitiza esses argumentos em sua configuração padrão. A classe EnhancedCommandExecutor é o componente responsável por processar comandos. Os parâmetros username e password não são explicitamente mencionados como envolvidos neste problema.

Recomendações Versões anteriores ao commit 2f3a5512 devem ser atualizadas para uma versão contendo a correção. Como medida de contorno temporária, considere desabilitar a classe EnhancedCommandExecutor ou restringir o acesso ao endpoint de API afetado até que um patch esteja disponível.