发布日期：2025-11-18
更新日期：2026-01-27

受影响系统：

reading-plus-ai MCP Server for Data Exploration 0.1.6

描述：

---

CVE(CAN) ID: CVE-2025-63603

MCP Server for Data Exploration是reading-plus-ai个人开发者的一个MCP服务器。
MCP Server for Data Exploration 0.1.6版本存在命令注入漏洞，该漏洞源于safe_eval()使用Python的exec()执行用户提交脚本前未在全局变量参数中限制__builtins__字典，攻击者可利用该漏洞以完整系统权限执行任意Python代码，实现对系统的完全控制。

<**>

建议：

---

厂商补丁：

reading-plus-ai
---------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://github.com/reading-plus-ai/mcp-server-data-exploration

浏览次数：118
严重程度：0（网友投票）