CVE-2026-7149

Nome do Software Vulnerável e Versões Afetadas dexhunter kaggle-mcp versões anteriores a 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d

Descrição Um problema de path traversal existe na função prepare kaggle dataset() dentro do arquivo src/kaggle mcp/server.py. Esta falha permite que um invasor remoto realize a travessia de diretórios ao manipular o argumento competition id. Path traversal é uma técnica que permite a um invasor acessar arquivos e diretórios armazenados fora da pasta raiz do servidor, manipulando variáveis que referenciam arquivos com sequências de ponto-ponto-barra (../).

Recomendações Atualize o dexhunter kaggle-mcp para uma versão posterior a 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d. Como medida paliativa temporária, restrinja ou valide a entrada fornecida ao argumento competition id na função prepare kaggle dataset() para evitar o uso de sequências de travessia de caminho.