Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w projekcie Code Runner MCP Server
12 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-5029
Data publikacji 12 maja 2026
Producent podatnego oprogramowania Code Runner MCP Server
Nazwa podatnego oprogramowania Code Runner MCP Server
Podatne wersje Wszystkie
Typ podatności (CWE) Missing Authentication for Critical Function (CWE-306)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w projecie Code Runner MCP Server i koordynował proces ujawniania informacji.

Podatność CVE-2026-5029: W Code Runner MCP Server podczas uruchomienia z opcją --transport http oprogramowanie udostępnia endpoint JSON-RPC /mcp bez uwierzytelniania na porcie 3088. Umożliwia to zdalne wykonanie kodu przez atakującego, który może wywołać narzędzie MCP run-code, dostarczając dowolny kod źródłowy i wykonując go za pomocą child_process.exec() przy użyciu wskazanego interpretera języka. Umożliwia to wykonanie dowolnego kodu z uprawnieniami użytkownika uruchamiającego serwer.

Podatność nie została naprawiona i może dotyczyć wszystkich wersji projektu.

Podziękowania

Za zgłoszenie podatności dziękujemy Erykowi Winiarzowi.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.