脆弱性  ·  2026-07-06

markdownify-mcp — saveToTempFileにおける不十分にランダムな一時ファイル名

脆弱性Low 影響度GlobalCVE-2026-14702
CVE-2026-14702(CVSS 2.5 Low、2026-07-05に公開)はmarkdownify-mcpのコンテンツ変換ツール内の一時ファイル命名スキームに影響を与えます。
単一のMCP変換ツールパッケージの狭く、ローカルのみの爆発半径 — ティアリングガイダンスごとに正確にカタログ化されたCVEとして保持されます。
saveToTempFileは一時ファイル名を生成するときに不十分にランダムな値を使用し、ローカルの攻撃ベクトルに制限され、MCPコンバージョンツールで使用される一時ファイルの予測/衝突を可能にします。
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts、webpage/youtube/bing-search-to-markdownツール)
開示時に確認された修正なし;解決策/パッチとして暗号化されたランダムな一時ファイル名を使用します。
NVD CVE-2026-14702
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →