CVE-2026-25546

Nome do Software Vulnerável e Versões Afetadas Versões do Godot MCP anteriores à 0.1.1

Descrição O Godot MCP é um servidor Model Context Protocol (MCP) para interagir com o mecanismo de jogo Godot. Uma vulnerabilidade de injeção de comando no godot-mcp permite execução remota de código. A função executeOperation() passa entrada controlada pelo usuário, como projectPath, diretamente para exec(), que invoca um shell. Um atacante poderia injetar metacaracteres de shell como $(command) ou &calc para executar comandos arbitrários com os privilégios do processo do servidor MCP. Isso afeta ferramentas que aceitam projectPath, incluindo create scene, add node e load sprite.

Recomendações Atualize para a versão 0.1.1 ou posterior do Godot MCP.