무슨 일이 있었나
CVE-2026-14702(CVSS 2.5 낮음, 2026-07-05 발행)는 markdownify-mcp의 콘텐츠 변환 도구에서 임시 파일 이름 지정 스키마에 영향을 미칩니다.
왜 중요한가
단일 MCP 변환 도구 패키지의 좁은, 로컬 전용 영향 범위 — 계층화 가이드에 따라 정확히 카탈로그된 CVE로 유지됩니다.
공격 경로
saveToTempFile은 임시 파일 이름을 생성할 때 불충분하게 임의적인 값을 사용하며, 로컬 공격 벡터로 제한되며, MCP 변환 도구에서 사용되는 임시 파일의 예측/충돌을 가능하게 합니다.
영향받는 시스템
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts, webpage/youtube/bing-search-to-markdown 도구)
완화 방안
공개 시 확인된 수정 없음; 암호화 방식으로 임의적인 임시 파일 이름을 해결책/패치로 사용합니다.