CVE-2026-5619 CVSS 5.3 中危

CVE-2026-5619 Braffolk组件操作系统命令注入漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5619

漏洞类型

操作系统命令注入

CVSS评分

5.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Braffolk mcp-summarization-functions

漏洞概述

Braffolk mcp-summarization-functions 0.1.5及之前版本中存在安全漏洞。该漏洞源于组件`summarize_command`的文件`src/server/mcp-server.ts`中的未知功能处理不当。攻击者可以通过操纵`command`参数，在本地利用该漏洞执行操作系统命令注入攻击。此攻击需要本地访问权限和低权限账户。由于供应商未回应披露通知，目前漏洞利用代码已公开，对系统机密性、完整性和可用性造成一定威胁。

技术细节

该漏洞位于Braffolk开发的mcp-summarization-functions项目的`src/server/mcp-server.ts`文件中。核心问题出在`summarize_command`组件处理用户输入的逻辑上。当系统接收到用户提交的`command`参数时，未对其进行充分的清洗或安全编码，便直接将其拼接到系统调用的指令中。这种不安全的直接拼接方式，为攻击者提供了利用空间。攻击者只需具备本地系统的低权限账户（PR:L），即可通过构造包含特定元字符（如分号、反引号等）的恶意参数，截断原有命令并拼接执行任意操作系统指令。尽管利用范围受限于本地且权限未提升，但攻击者仍可窃取敏感数据、篡改文件或破坏服务环境。

攻击链分析

STEP 1

1. 获取本地访问

攻击者需要获得目标系统的本地访问权限（例如通过低权限用户账户）。

STEP 2

2. 构造恶意参数

攻击者分析`summarize_command`组件，构造包含操作系统命令注入字符（如分号或管道符）的`command`参数。

STEP 3

3. 发送恶意请求

攻击者向受影响的应用程序接口发送包含恶意参数的请求。

STEP 4

4. 执行注入命令

服务器端未过滤参数，直接将其传递给系统Shell执行，导致攻击者的恶意命令在服务器上运行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-5619
// Target: Braffolk mcp-summarization-functions <= 0.1.5
// Description: Manipulating the 'command' argument to inject OS commands.

function exploit() {
    const maliciousCommand = "; cat /etc/passwd"; // Injection payload
    
    // Simulating the vulnerable request to the summarize_command component
    const payload = {
        command: maliciousCommand
    };

    // The vulnerable code in src/server/mcp-server.ts executes this without sanitization
    // Example: exec(`summarize ${payload.command}`)
    console.log(`Sending payload: ${JSON.stringify(payload)}`);
    
    // If exploited, the server would execute: summarize ; cat /etc/passwd
    return payload;
}

exploit();

影响范围

Braffolk mcp-summarization-functions <= 0.1.5

防御指南

临时缓解措施

在官方发布修复版本前，建议严格限制对受影响组件的本地访问权限，并监控系统中是否存在异常的子进程调用。如果业务允许，建议暂时禁用`summarize_command`功能以防止漏洞被利用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5619
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5619
3 Details https://www.cvedetails.com/cve/CVE-2026-5619/
4 VulDB https://vuldb.com/cve/CVE-2026-5619
5 Link https://github.com/wing3e/public_exp/issues/26
6 Link https://vuldb.com/submit/785574
7 Link https://vuldb.com/vuln/355409
8 Link https://vuldb.com/vuln/355409/cti

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表