发布日期：2025-07-14
更新日期：2025-09-23

受影响系统：

Github Kanban MCP Server 0.3.0

描述：

---

CVE(CAN) ID: CVE-2025-53818

GitHub Kanban MCP Server是一个用于管理GitHub问题的模型上下文协议（MCP）服务器，并以Kanban板格式简化了大型语言模型（LLM）的任务管理。
Kanban MCP Server的0.3.0版本在某些工具定义和实现中存在命令注入漏洞，该漏洞源于MCP Server暴露了一个名为add_comment的工具，它依赖于Node.js的子进程API exec来执行GitHub 命令，是不安全的API，攻击者可利用该漏洞注入命令。

<**>

建议：

---

厂商补丁：

Github
------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/Sunwood-ai-labs/github-kanban-mcp-server/blob/main/src/handlers/comment-handlers.ts#L8

浏览次数：47
严重程度：0（网友投票）