Apa yang terjadi
CVE-2026-14699 (CVSS 3.3 Low, dipublikasikan 2026-07-05) adalah kerentanan symlink-following yang dapat dieksploitasi secara lokal dalam server MCP yang digunakan untuk mengonversi konten/file web ke Markdown untuk konsumsi agent LLM.
Mengapa penting
Radius ledakan rendah, vektor serangan lokal-hanya pada satu paket alat MCP — disimpan sebagai CVE yang dikatalogkan dengan presisi per panduan berjenjang.
Vektor serangan
Fungsi assertPathAllowed tidak memperhitungkan symlink, memungkinkan penyerang lokal untuk melarikan diri dari pembatasan jalur yang dimaksud dengan mengikuti symlink.
Sistem yang terdampak
zcaceres markdownify-mcp ≤ 1.1.0 (src/Markdownify.ts)
Mitigasi
Permintaan tarik untuk memperbaiki masalah ini sedang menunggu penerimaan vendor; hindari menjalankan markdownify-mcp dengan jalur file lokal yang tidak terpercaya menunggu penggabungan.