PT-2026-35575 · Unknown · Sqlite-Mcp

Smallw

Publicado

2026-04-28

Atualizado

2026-04-28

CVE-2026-7206

CVSS v2.0

7.5

Alta

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:P

Nome do Software Vulnerável e Versões Afetadas dubydu sqlite-mcp versões anteriores a 0.1.1

Descrição Uma falha na função extract to json() no arquivo src/entry.py permite a ocorrência de SQL injection remoto. Isso acontece quando o argumento output filename é manipulado, permitindo que um invasor execute comandos SQL não autorizados.

Recomendações Aplique o patch a5580cb992f4f6c308c9ffe6442b2e76709db548. Como medida paliativa temporária, restrinja ou evite o uso do argumento output filename na função extract to json().

Exploit

Correção

Special Elements Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-89

Identificadores relacionados

CVE-2026-7206

GHSA-4J28-22QP-RJCF

Produtos afetados

Sqlite-Mcp

PT-2026-35575 · Unknown · Sqlite-Mcp

CVE-2026-7206

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 12