何が起きたか
CVE-2026-14702(CVSS 2.5 Low、2026-07-05に公開)はmarkdownify-mcpのコンテンツ変換ツール内の一時ファイル命名スキームに影響を与えます。
なぜ重要か
単一のMCP変換ツールパッケージの狭く、ローカルのみの爆発半径 — ティアリングガイダンスごとに正確にカタログ化されたCVEとして保持されます。
攻撃経路
saveToTempFileは一時ファイル名を生成するときに不十分にランダムな値を使用し、ローカルの攻撃ベクトルに制限され、MCPコンバージョンツールで使用される一時ファイルの予測/衝突を可能にします。
影響を受けるシステム
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts、webpage/youtube/bing-search-to-markdownツール)
緩和策
開示時に確認された修正なし;解決策/パッチとして暗号化されたランダムな一時ファイル名を使用します。