发布日期：2025-11-30
更新日期：2025-12-08

受影响系统：

Muhammad Osama HexStrike AI MCP Agents <= 2f3a5512

描述：

---

CVE(CAN) ID: CVE-2025-35028

HexStrike AI MCP Agents是Muhammad Osama个人开发者的一款MCP服务器，是AI驱动的网络安全自动化平台，提供150多种安全工具和12+自主AI代理，适用于渗透测试、漏洞评估和CTF挑战等场景。
HexStrike AI MCP Agents2f3a5512及之前版本存在命令注入漏洞，该漏洞源于程序未对用户输入进行正确验证，且以过高运行权限运行，攻击者可通过向由EnhancedCommandExecutor创建的API端点注入以半角“；”开头的命令行参数，提高运行权限，使错误在服务器正常运行，导致信息泄露。

<**>

建议：

---

厂商补丁：

Muhammad Osama
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://takeonme.org/gcves/GCVE-1337-2025-00000000000000000000000000000000000000000000000000111111111111111111111111000000000000000000000000000000000000000000000000000000011

浏览次数：76
严重程度：0（网友投票）