Apa yang terjadi
CVE-2026-14702 (CVSS 2.5 Low, dipublikasikan 2026-07-05) mempengaruhi skema penamaan file temp dalam alat konversi konten markdownify-mcp.
Mengapa penting
Radius ledakan lokal-hanya yang sempit pada satu paket alat konversi MCP — disimpan sebagai CVE yang dikatalogkan dengan presisi per panduan berjenjang.
Vektor serangan
saveToTempFile menggunakan nilai yang tidak cukup acak saat menghasilkan nama file sementara, dibatasi pada vektor serangan lokal, memungkinkan prediksi/tabrakan file temp yang digunakan oleh alat konversi MCP.
Sistem yang terdampak
zcaceres markdownify-mcp ≤ 1.1.0 (src/Markdownify.ts, alat webpage/youtube/bing-search-to-markdown)
Mitigasi
Tidak ada perbaikan yang dikonfirmasi saat pengungkapan; gunakan nama file temp yang acak secara kriptografis sebagai solusi/tambalan.