CVE-2026-27203

Nome do Software Vulnerável e Versões Afetadas eBay API MCP Server (todas as versões)

Descrição Um problema de injeção de variáveis de ambiente existe na função updateEnvFile localizada em src/auth/oauth.ts. A ferramenta ebay set user tokens permite atualizar o arquivo .env com novos tokens, mas a função updateEnvFile anexa ou substitui valores sem validá-los quanto a aspas ou quebras de linha. Essa falta de sanitização permite que um atacante injete variáveis de ambiente arbitrárias no arquivo de configuração. Os impactos potenciais incluem a sobrescrita de configurações, como o sequestro de fluxos OAuth ao modificar EBAY REDIRECT URI, Negação de Serviço (DoS) ao injetar configurações inválidas e Execução Remota de Código (RCE) ao controlar variáveis como NODE OPTIONS.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso à ferramenta ebay set user tokens e à função updateEnvFile para minimizar o risco de exploração.