安全研究
安全漏洞
consult-llm-mcp 命令注入漏洞(CVE-2026-5125)
发布日期:2026-03-30
更新日期:2026-06-22
受影响系统:consult-llm-mcp consult-llm-mcp < 2.5.4
描述:
CVE(CAN) ID:
CVE-2026-5125
consult-llm-mcp 是一个基于模型上下文协议(MCP)的组件,允许大语言模型(LLM)查询本地 Git 存储库信息。
consult-llm-mcp在2.5.4版本中存在命令注入漏洞,该漏洞源于该组件的 src/server.ts 文件在调用 child_process.execSync 执行 Git 指令时未对 git_diff.base_ref 或 git_diff.files 参数进行安全过滤,攻击者可利用该漏洞实现命令执行。
<**>
建议:
厂商补丁:
consult-llm-mcp
---------------
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/raine/consult-llm-mcp/commit/4abf297b34e5e8a9cb364b35f52c5f0ca1d599d3浏览次数:129
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |