Kerentanan  ·  2026-07-19

Injeksi Perintah MiniCode MCP melalui child_process.spawn

KerentananMedium dampakGlobalCVE-2026-16133
Gist yang diungkapkan secara publik merinci kerentanan injeksi perintah (CVSS 5.0) dalam implementasi MCP MiniCode, yang berasal dari penggunaan child_process.spawn Node yang tidak aman.
Bahkan implementasi server MCP penulis tunggal/niches adalah bagian dari permukaan serangan ekosistem MCP yang berkembang; injeksi perintah di handler alat MCP memberikan penyerang eksekusi kode di mana pun server MCP itu diterapkan bersama agen AI.
Penggunaan child_process.spawn file mcp.ts dapat dimanipulasi untuk mencapai injeksi perintah; serangan dapat diluncurkan dari jarak jauh tetapi memerlukan tingkat kompleksitas yang tinggi.
LiuMengxuan04 MiniCode 0.1.0
Tidak ada patch resmi yang dikonfirmasi pada saat pengungkapan; sanitasi semua input yang diteruskan ke child_process.spawn dan hindari interpolasi shell.
Gist: MiniCode mcp.ts command injection PoC
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →