漏洞  ·  2026-07-06

markdownify-mcp——saveToTempFile中的随机临时文件名不足

漏洞Low 影响GlobalCVE-2026-14702
CVE-2026-14702(CVSS 2.5低,发布于2026-07-05)影响markdownify-mcp内容转换工具中的临时文件命名方案。
单个MCP转换工具包上的狭窄、本地限制爆炸范围——根据分级指导保留为精确的编目CVE。
saveToTempFile在生成临时文件名时使用不充分的随机值,限于本地攻击向量,使得能够预测/碰撞MCP转换工具使用的临时文件。
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts、webpage/youtube/bing-search-to-markdown工具)
在披露时没有确认修复;使用加密随机临时文件名作为变通方法/补丁。
NVD CVE-2026-14702
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →