PT-2026-35150 · Unknown · Gitpilot-Mcp
Bigw
·
Publicado
2026-04-25
·
Atualizado
2026-04-25
·
CVE-2026-6980
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
Divyanshu-hash GitPilot-MCP versões até 9ed9f153ba4158a2ad230ee4871b25130da29ffd
Descrição
A injeção de comando remoto é possível através da manipulação do argumento
command. Este problema afeta a função repo path() no arquivo main.py, permitindo que um invasor execute comandos arbitrários remotamente.Recomendações
Como medida paliativa temporária, considere restringir o uso da função
repo path() até que uma correção esteja disponível.Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gitpilot-Mcp