CVE-2025-69256

Nome do Software Vulnerável e Versões Afetadas Versões do Serverless Framework de 4.29.0 a 4.29.2

Descrição O Serverless Framework é um framework utilizado para construir aplicações com AWS Lambda e outros serviços de nuvem gerenciados. Existe um problema de injeção de comando no pacote de servidor MCP integrado do Serverless Framework (@serverless/mcp). Isso afeta usuários do recurso experimental de servidor MCP, representando menos de 0,1% dos usuários do Serverless Framework. A CLI principal do Serverless Framework e a funcionalidade de implantação não são afetadas. O problema decorre do uso não sanitizado de parâmetros de entrada dentro de uma chamada para child process.exec, permitindo que um atacante injete comandos de sistema arbitrários. A exploração bem-sucedida pode levar à execução remota de código com os privilégios do processo do servidor. O servidor constrói e executa comandos shell usando entrada de usuário não validada, criando um potencial para injeção de metacaracteres de shell, como |, > e &&.

Recomendações Atualize para a versão 4.29.3 ou superior do Serverless Framework.