关键信息 漏洞概述 漏洞名称: Node.js Sandbox MCP Server vulnerability can lead to Sandbox Escape via Command Injection CVE编号: CVE-2022-3712 CVSS评分: 9.8 (严重) 影响版本: node-code-sandbox-mcp@1.2.0 修复版本: 1.3.0 漏洞描述 摘要: 在node-code-sandbox-mcp包中存在一个命令注入漏洞,攻击者可以通过构造恶意的MCP命令来执行任意代码。 详细信息: MCP服务器暴露了一个端点,允许创建和执行MCP命令。由于对输入参数缺乏适当的验证和清理,攻击者可以利用此漏洞在宿主机上执行任意命令。 漏洞代码示例 证明概念 (PoC) 设置: 创建一个包含恶意脚本的文件夹。 步骤: 1. 发送带有恶意命令的HTTP请求。 2. 观察响应,确认命令被执行。 影响 命令注入: 攻击者可以在宿主机上执行任意命令,导致沙箱逃逸。 修复建议 使用 代替 ,并确保对输入参数进行严格的验证和清理。