무슨 일이 있었나
CVE-2026-14699(CVSS 3.3 낮음, 2026-07-05 발행)는 웹 콘텐츠/파일을 LLM 에이전트 소비를 위한 마크다운으로 변환하는 데 사용되는 MCP 서버의 로컬 악용 가능한 심볼릭 링크 추종 취약점입니다.
왜 중요한가
낮은 영향 범위, 단일 MCP 도구 패키지의 로컬 전용 공격 벡터 — 계층화 가이드에 따라 정확히 카탈로그된 CVE로 유지됩니다.
공격 경로
assertPathAllowed 함수는 심볼릭 링크를 고려하지 않으므로, 로컬 공격자가 심볼릭 링크를 따라 의도된 경로 제한을 벗어날 수 있습니다.
영향받는 시스템
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts)
완화 방안
이 문제를 수정하기 위한 풀 요청이 공급자 승인을 기다리는 중입니다; 병합 대기 중인 신뢰할 수 없는 로컬 파일 경로로 markdownify-mcp를 실행하는 것을 피합니다.