Kerentanan  ·  2026-07-06

markdownify-mcp — Symlink Following dalam Validasi Jalur assertPathAllowed

KerentananLow dampakGlobalCVE-2026-14699
CVE-2026-14699 (CVSS 3.3 Low, dipublikasikan 2026-07-05) adalah kerentanan symlink-following yang dapat dieksploitasi secara lokal dalam server MCP yang digunakan untuk mengonversi konten/file web ke Markdown untuk konsumsi agent LLM.
Radius ledakan rendah, vektor serangan lokal-hanya pada satu paket alat MCP — disimpan sebagai CVE yang dikatalogkan dengan presisi per panduan berjenjang.
Fungsi assertPathAllowed tidak memperhitungkan symlink, memungkinkan penyerang lokal untuk melarikan diri dari pembatasan jalur yang dimaksud dengan mengikuti symlink.
zcaceres markdownify-mcp ≤ 1.1.0 (src/Markdownify.ts)
Permintaan tarik untuk memperbaiki masalah ini sedang menunggu penerimaan vendor; hindari menjalankan markdownify-mcp dengan jalur file lokal yang tidak terpercaya menunggu penggabungan.
NVD CVE-2026-14699
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →