事件经过
markdownify-mcp 的路径白名单检查在验证之前未解析符号链接,让本地攻击者构造一个绕过预期目录限制的符号链接。
影响分析
单个单一维护者 MCP 工具上的仅限本地攻击矢量;爆炸半径较小,但作为精确编目的 CVE 包含以完整性。
攻击途径
src/Markdownify.ts 中的 assertPathAllowed 函数未能检测符号链接,允许本地攻击者使用符号链接跟随逃逸预期的路径限制。
受影响系统
zcaceres markdownify-mcp,至版本 1.1.0
缓解措施
跟踪上游存储库中的待处理拉取请求以修复此问题;在过渡中避免处理不受信任的符号链接路径。