CVE-2026-40576

Name of the Vulnerable Software and Affected Versions excel-mcp-server versões anteriores a 0.1.8

Description Um problema de path traversal existe no excel-mcp-server ao operar nos modos de transporte SSE ou Streamable-HTTP. Um invasor de rede não autenticado pode ler, escrever e sobrescrever arquivos arbitrários no sistema de arquivos do host fornecendo argumentos filepath manipulados para qualquer um dos 25 manipuladores de ferramentas MCP expostos. O problema decorre da função get excel path(), que não consegue confinar adequadamente as operações de arquivo ao diretório especificado pela variável de ambiente EXCEL FILES PATH. Especificamente, a função permite que caminhos absolutos ignorem completamente o sandbox e não resolve nem valida caminhos relativos, permitindo o uso de sequências ../ para escapar do diretório pretendido. Isso é agravado pelo fato de o servidor vincular-se ao 0.0.0.0 por padrão e não exigir autenticação para transportes voltados para a rede.

Recommendations Atualize para a versão 0.1.8. Como solução temporária, restrinja o acesso à porta de rede usada pelo servidor ou altere a variável de ambiente FASTMCP HOST de 0.0.0.0 para um endereço mais seguro para limitar a exposição da rede.