취약점  ·  2026-07-06

markdownify-mcp — assertPathAllowed 경로 검증의 심볼릭 링크 추종

취약점Low 영향도GlobalCVE-2026-14699
CVE-2026-14699(CVSS 3.3 낮음, 2026-07-05 발행)는 웹 콘텐츠/파일을 LLM 에이전트 소비를 위한 마크다운으로 변환하는 데 사용되는 MCP 서버의 로컬 악용 가능한 심볼릭 링크 추종 취약점입니다.
낮은 영향 범위, 단일 MCP 도구 패키지의 로컬 전용 공격 벡터 — 계층화 가이드에 따라 정확히 카탈로그된 CVE로 유지됩니다.
assertPathAllowed 함수는 심볼릭 링크를 고려하지 않으므로, 로컬 공격자가 심볼릭 링크를 따라 의도된 경로 제한을 벗어날 수 있습니다.
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts)
이 문제를 수정하기 위한 풀 요청이 공급자 승인을 기다리는 중입니다; 병합 대기 중인 신뢰할 수 없는 로컬 파일 경로로 markdownify-mcp를 실행하는 것을 피합니다.
NVD CVE-2026-14699
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →