취약점  ·  2026-07-19

MiniCode child_process.spawn을 통한 MCP Command Injection

취약점Medium 영향도GlobalCVE-2026-16133
공개 gist는 MiniCode의 MCP 구현에서 Node의 child_process.spawn의 unsafe 사용에서 비롯된 command injection 취약점(CVSS 5.0)을 상세히 설명했습니다.
single-author/niche MCP server 구현도 증가하는 MCP ecosystem attack surface의 일부입니다. MCP tool handler의 command injection은 그 MCP server가 AI agent와 함께 배포되는 곳 어디서나 코드 실행을 공격자에게 제공합니다.
mcp.ts 파일의 child_process.spawn 사용은 command injection을 달성하도록 조작될 수 있습니다. 공격은 원격으로 시작될 수 있지만 높은 수준의 복잡성이 필요합니다.
LiuMengxuan04 MiniCode 0.1.0
공개 시점에 공식 패치가 확인되지 않음. child_process.spawn으로 전달된 모든 입력을 정제하고 shell interpolation을 피하세요.
Gist: MiniCode mcp.ts command injection PoC
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →