CVE-2026-7593Sunwood-ai-labs的command-executor-mcp-server组件在0.1.0及更早版本中存在高危安全漏洞。问题出在src/index.ts文件的execute_command函数,由于缺乏输入校验,导致操作系统命令注入。攻击者无需用户交互或认证即可远程发起攻击,成功利用可导致服务器被完全控制,严重影响系统的机密性、完整性和可用性。
该漏洞位于Sunwood-ai-labs/command-executor-mcp-server项目的MCP Interface组件中,具体源码文件为`src/index.ts`,受影响函数为`execute_command`。该函数的主要职责是执行系统命令,但在实现过程中,未对用户提交的参数进行严格的边界检查和清洗,直接将其传递给底层操作系统Shell进行解析。这种设计缺陷允许攻击者注入Shell元字符(如分号、管道符、反引号等),从而改变原始命令的逻辑。攻击者无需任何身份认证即可通过网络发送恶意请求,在服务器上下文中执行任意操作系统命令。鉴于该组件常用于自动化任务执行,一旦被攻破,攻击者可横向移动,严重影响内网安全。