CVE-2026-5602 CVSS 5.3 中危

CVE-2026-5602 heim-mcp操作系统命令注入漏洞

披露日期: 2026-04-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5602

漏洞类型

操作系统命令注入

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Nor2-io heim-mcp

漏洞概述

Nor2-io heim-mcp 0.1.3及之前版本存在操作系统命令注入漏洞。攻击者需具备本地访问权限，通过操纵特定组件函数，可注入恶意OS命令并执行，导致系统安全性受损。

技术细节

该漏洞源于 `src/tools.ts` 文件中的 `registerTools` 函数未对输入参数进行严格的过滤或转义。在处理 `deploy_heim_application_to_cloud` 组件时，攻击者可构造特殊字符（如 `;`, `|`, `&` 等）拼接系统指令。由于攻击需要本地访问（AV:L）且仅需低权限（PR:L），恶意用户可直接利用该缺陷在宿主机上下文中执行任意命令，进而窃取数据或破坏服务。

攻击链分析

STEP 1

步骤1

攻击者获取受影响系统的本地低权限访问权限。

STEP 2

步骤2

识别Nor2-io heim-mcp版本在0.1.3及以下，定位src/tools.ts中的漏洞点。

STEP 3

步骤3

构造包含命令注入字符（如分号或管道符）的恶意输入数据。

STEP 4

步骤4

触发deploy_heim_application_to_cloud组件功能，传入恶意参数。

STEP 5

步骤5

应用程序拼接并执行恶意命令，攻击者在主机上执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-5602
// Vulnerability: OS Command Injection in registerTools
// Payload: ; id

function exploit() {
    // Simulating the vulnerable function call
    // Attacker controls the input to the deployment tool
    let userInput = "valid_param; echo 'CVE-2026-5602 POC'";

    // Vulnerable code pattern (conceptual)
    // let cmd = "deploy_app " + userInput;
    // require('child_process').exec(cmd);

    console.log("Payload injected: " + userInput);
}

exploit();

影响范围

Nor2-io heim-mcp <= 0.1.3

防御指南

临时缓解措施

在未升级补丁前，严格限制本地用户权限，并监控heim-mcp进程的命令执行行为，防止恶意指令执行。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5602
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5602
3 Details https://www.cvedetails.com/cve/CVE-2026-5602/
4 VulDB https://vuldb.com/cve/CVE-2026-5602
5 Link https://github.com/Nor2-io/heim-mcp/
6 Link https://github.com/Nor2-io/heim-mcp/commit/c321d8af25f77668781e6ccb43a1336f9185df37
7 Link https://github.com/Nor2-io/heim-mcp/issues/1
8 Link https://github.com/Nor2-io/heim-mcp/pull/2
9 Link https://github.com/user-attachments/files/25889482/heim-mcp_bug.pdf
10 Link https://vuldb.com/submit/784862
11 Link https://vuldb.com/vuln/355394
12 Link https://vuldb.com/vuln/355394/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表