Apa yang terjadi
Gist yang diungkapkan secara publik merinci kerentanan injeksi perintah (CVSS 5.0) dalam implementasi MCP MiniCode, yang berasal dari penggunaan child_process.spawn Node yang tidak aman.
Mengapa penting
Bahkan implementasi server MCP penulis tunggal/niches adalah bagian dari permukaan serangan ekosistem MCP yang berkembang; injeksi perintah di handler alat MCP memberikan penyerang eksekusi kode di mana pun server MCP itu diterapkan bersama agen AI.
Vektor serangan
Penggunaan child_process.spawn file mcp.ts dapat dimanipulasi untuk mencapai injeksi perintah; serangan dapat diluncurkan dari jarak jauh tetapi memerlukan tingkat kompleksitas yang tinggi.
Sistem yang terdampak
LiuMengxuan04 MiniCode 0.1.0
Mitigasi
Tidak ada patch resmi yang dikonfirmasi pada saat pengungkapan; sanitasi semua input yang diteruskan ke child_process.spawn dan hindari interpolasi shell.