安全研究
安全漏洞
mcp-vegalite-server mcp-vegalite-server代码注入漏洞(CVE-2026-1977)
发布日期:2026-02-05
更新日期:2026-05-11
受影响系统:mcp-vegalite-server mcp-vegalite-server
描述:
CVE(CAN) ID:
CVE-2026-1977
mcp-vegalite-server是Isaac Wasserman个人开发者的用于数据可视化的上下文协议服务器。
mcp-vegalite-server存在代码注入漏洞,该漏洞源于视化数据功能中,直接使用不安全的eval函数解析用户可控的vegalite_specification参数,未做任何过滤与沙箱隔离,攻击者可利用该漏洞构造恶意输入注入并执行任意系统代码,获得接管服务器权限。
<**>
建议:
厂商补丁:
mcp-vegalite-server
-------------------
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/isaacwasserman/mcp-vegalite-server/issues/9浏览次数:101
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
