Kerentanan  ·  2026-07-11

mcp-text-editor — Path Traversal in File Path Validation (CVSS 6.3)

KerentananMedium dampakGlobalCVE-2026-15138
Fungsi _validate_file_path dalam mcp_text_editor/text_editor.py (tumf/mcp-text-editor, server MCP untuk penyuntingan file teks) rentan terhadap path traversal melalui argument file_path, memungkinkan manipulasi jarak jauh untuk melarikan diri dari direktori yang dimaksudkan. Exploit publik dilaporkan ada.
Ini adalah path traversal tool-surface MCP dalam server MCP penyuntingan teks yang dapat dipanggil oleh agen LLM; meskipun author tunggal/niche, ia menggambarkan pola berulang dari validasi path-boundary yang tidak memadai di seluruh ekosistem server MCP, dan exploit publik meningkatkan risiko jangka pendek untuk deployment agen apa pun yang menggunakan server ini.
Argument file_path yang dirancang ke tool penyunting teks MCP lolos boundary direktori yang dimaksudkan melalui path traversal
tumf mcp-text-editor ≤ 1.0.2
Perbarui ke versi yang dipatch ketika tersedia; batasi akses filesystem server MCP melalui containerization atau chroot
GitHub repository
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →