취약점  ·  2026-07-07

markdownify-mcp — assertPathAllowed 경로 검증에서 심볼릭 링크 추종

취약점Low 영향도GlobalCVE-2026-14699
markdownify-mcp의 경로 허용 목록 확인이 검증 전에 심볼릭 링크를 해석하지 않아서, 로컬 공격자가 의도된 디렉터리 격리를 우회하는 심볼릭 링크를 구성할 수 있습니다.
틈새 단일 유지보수자 MCP 도구에 대한 로컬 전용 공격 벡터입니다. 낮은 영향 범위이지만 정확하게 카탈로그된 CVE로 포함됩니다.
src/Markdownify.ts의 assertPathAllowed 함수가 심볼릭 링크를 감지하지 못하여, 로컬 공격자가 심볼릭 링크 추종을 사용하여 의도된 경로 제한을 탈출할 수 있습니다.
zcaceres markdownify-mcp, 버전 1.1.0까지
상위 저장소에서 이 문제를 수정하는 보류 중인 풀 요청을 추적하고, 그 동안 신뢰할 수 없는 심볼릭 링크된 경로 처리를 피하세요.
NVD CVE-2026-14699markdownify-mcp GitHub
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →