PT-2026-36552 · Artmin96 · Yii2-Mcp-Server
Eternity
·
Publicado
2026-05-02
·
Atualizado
2026-05-02
·
CVE-2026-7600
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
ArtMin96 yii2-mcp-server versão 1.0.2
Descrição
Uma falha no componente MCP Interface, especificamente na função
yii command help/yii execute command() do arquivo src/index.ts, permite a injeção remota de comandos do sistema operacional (OS command injection). Isso ocorre quando uma manipulação é executada, podendo levar ao comprometimento total do servidor.Recomendações
Remova a versão 1.0.2.
Como medida paliativa temporária, restrinja o acesso à função
yii command help/yii execute command() para minimizar o risco de exploração.Exploit
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Yii2-Mcp-Server