CVE-2026-7628crazyrabbitLTC开发的mcp-code-review-server在0.1.0及之前的版本中存在命令注入漏洞。该漏洞位于src/repomix.ts文件的executeRepomix函数中,由于RepoMix命令处理组件对输入验证不足,攻击者可远程构造恶意数据执行任意系统命令。此攻击可能泄露敏感信息、篡改数据或导致服务中断。目前漏洞利用代码已公开,但官方尚未发布修复补丁。
该漏洞的根源在于mcp-code-review-server项目中RepoMix命令处理组件的不安全实现。具体受影响文件为src/repomix.ts,其中的executeRepomix函数负责处理与代码仓库混合打包相关的指令。在实现过程中,该函数直接将用户可控的输入数据传递给底层系统命令执行接口,而未对输入内容进行严格的过滤、转义或白名单验证。这种设计缺陷使得攻击者能够利用Shell元字符(如分号、管道符、反引号等)截断或拼接原始命令。攻击者通过网络发送特制的恶意请求,即可在服务器上下文中远程执行任意系统命令。鉴于CVSS向量显示权限要求为低(PR:L),攻击者一旦获得访问权限,即可利用此漏洞提升权限、窃取代码库或部署后门程序,对系统的机密性、完整性和可用性构成严重威胁。