发布日期：2025-12-01
更新日期：2026-06-16

受影响系统：

MCP Watch MCP Watch <= 0.1.2

描述：

---

CVE(CAN) ID: CVE-2025-66401

MCP Watch是Kapil Duraphe个人开发者的一个用于模型上下文协议服务器的全面安全扫描程序。
MCP Watch 0.1.2及之前版本的cloneRepo方法存在命令注入漏洞，该漏洞源于用户提供的githubUrl参数通过execSync直接发送到系统shell，而未经正确过滤，攻击者可利用该漏洞通过在在URL后附加shell元字符主机上执行任意命令。

<**>

建议：

---

厂商补丁：

MCP Watch
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/kapilduraphe/mcp-watch/commit/e7da78c5b4b960f8b66c254059ad9ebc544a91a6

浏览次数：37
严重程度：0（网友投票）