CVE-2026-0755

Nome do Software Vulnerável e Versões Afetadas gemini-mcp-tool (versões afetadas não especificadas)

Descrição O software gemini-mcp-tool contém uma falha crítica no método execAsync que permite execução remota de código (RCE) não autenticada. Este problema decorre da falta de validação adequada de entrada antes da execução de chamadas de sistema, permitindo que invasores injetem comandos de shell maliciosos. Um invasor pode acessar um endpoint MCP acessível pela rede e enviar entrada manipulada ao método execAsync, fazendo com que o serviço execute comandos como a conta de serviço gemini-mcp-tool. A exploração bem-sucedida pode levar ao comprometimento total do host, incluindo acesso de leitura/gravação de arquivos, persistência, roubo de credenciais e potencial tomada de controle de plataformas de IA/ML. A causa raiz é identificada como Injeção de Comando no Sistema Operacional (CWE-78) devido à sanitização insuficiente e falta de execução parametrizada. Invasores podem utilizar metacaracteres de shell para injetar comandos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.