취약점  ·  2026-07-11

mcp-text-editor — 파일 경로 검증의 경로 순회 취약점 (CVSS 6.3)

취약점Medium 영향도GlobalCVE-2026-15138
mcp_text_editor/text_editor.py의 _validate_file_path 함수(텍스트 파일 편집을 위한 MCP 서버인 tumf/mcp-text-editor)는 file_path 인수를 통한 경로 순회에 취약하여 원격 조작으로 의도된 디렉토리를 벗어날 수 있습니다. 공개된 익스플로잇이 존재하는 것으로 보고되었습니다.
이는 LLM 에이전트가 호출할 수 있는 텍스트 편집 MCP 서버의 MCP 도구 표면 경로 순회이며, 단일 작성자/틈새 도구이지만 MCP 서버 생태계 전반에 걸친 불충분한 경로 경계 검증의 반복적인 패턴을 대표하며, 공개된 익스플로잇은 이 서버를 사용하는 모든 에이전트 배포에 대해 단기 위험을 증가시킵니다.
MCP 텍스트 편집기 도구에 대한 조작된 file_path 인수가 경로 순회를 통해 의도된 디렉토리 경계를 벗어남
tumf mcp-text-editor ≤ 1.0.2
패치된 버전이 사용 가능해지면 업데이트하고, 컨테이너화 또는 chroot를 통해 MCP 서버 파일시스템 접근을 제한합니다
GitHub repository
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →