事件经过
CVE-2026-14702(CVSS 2.5低,发布于2026-07-05)影响markdownify-mcp内容转换工具中的临时文件命名方案。
影响分析
单个MCP转换工具包上的狭窄、本地限制爆炸范围——根据分级指导保留为精确的编目CVE。
攻击途径
saveToTempFile在生成临时文件名时使用不充分的随机值,限于本地攻击向量,使得能够预测/碰撞MCP转换工具使用的临时文件。
受影响系统
zcaceres markdownify-mcp ≤ 1.1.0(src/Markdownify.ts、webpage/youtube/bing-search-to-markdown工具)
缓解措施
在披露时没有确认修复;使用加密随机临时文件名作为变通方法/补丁。