CVE-2026-43901

Nome do Software Vulnerável e Versões Afetadas wireshark-mcp versões 1.1.5 e anteriores

Descrição O wireshark-mcp expõe uma ferramenta wireshark export objects que aceita um parâmetro dest dir controlado por um invasor e o passa para a flag --export-objects do tshark sem restrições de caminho obrigatórias. Por padrão, o sandbox de caminho allowed dirs é definido como None, permitindo que qualquer diretório no sistema de arquivos seja usado como destino de exportação. Este problema também afeta as operações merge pcap files, editcap trim, editcap split, editcap time shift, editcap deduplicate e text2pcap import. Um invasor poderia potencialmente usar a injeção de prompt em um payload pcap para manipular um modelo de IA a gravar arquivos em locais sensíveis, como /home/user/.ssh/ ou /etc/cron.d/.

Recomendações Para as versões 1.1.5 e anteriores, configure a variável de ambiente WIRESHARK MCP ALLOWED DIRS para um diretório seguro e restrito antes de iniciar o servidor para ativar o sandbox e bloquear gravações fora do caminho permitido.