技术说明
三个严重漏洞于5月26日针对Lumiverse发布,这是一个支持MCP服务器的AI聊天应用程序,所有漏洞已在0.9.7版本中修复。CVE-2026-44450 (CVSS 9.9):MCP服务器创建端点根据二进制文件名称白名单验证命令字段,但将args数组转发给子进程时未进行验证——任何接受内联代码的白名单二进制文件(例如node -e, python -c)都可以用来实现任意代码执行。CVE-2026-44451 (CVSS 9.3):组件重写系统通过Sucrase转译用户提供的TSX并使用new Function()评估,仅进行浅层全局遮蔽——使用__proto__或间接eval路径的沙箱逃逸可实现完全代码执行。CVE-2026-44444 (CVSS 9.1):Spindle扩展构建管道在安全扫描前运行bun install时未使用--ignore-scripts,允许恶意扩展的preinstall/postinstall钩子在任何扫描前执行任意代码。
攻击途径
CVE-2026-44450:攻击者创建MCP服务器,指定白名单二进制文件(node、python)并携带代码执行参数——无需额外权限。CVE-2026-44451:攻击者提供恶意TSX作为组件重写——通过原型污染或间接eval实现沙箱逃逸。CVE-2026-44444:攻击者提供带有npm生命周期脚本的恶意扩展包——在安全扫描运行前执行。
受影响系统
0.9.7版本之前的Lumiverse版本。使用Lumiverse的MCP服务器创建或扩展/组件重写功能的AI聊天应用程序。
缓解措施
立即升级到Lumiverse 0.9.7。作为适用于Lumiverse之外的深度防御模式:(1) 对MCP子进程调用验证并将命令和参数都加入白名单——仅二进制文件白名单是不够的;(2) 在AI扩展管道的所有依赖安装中使用--ignore-scripts;(3) 将用户提供的组件代码视为不可信的,即使在沙箱中进行转译也是如此。