关键漏洞信息 漏洞类型 Remote Code Execution (RCE) 影响产品及版本 Vendor: semanhappy Product: mcpub Version: v0.9.1a 漏洞描述 用户可以通过创建一个新的MCP服务器(类型为stdin)在主机服务器上执行任意命令。服务器配置中的command和args字段未进行任何安全检查,允许攻击者以任意参数启动任何进程。 分析 漏洞源于createServer API端点,该端点允许创建新的服务器配置。关键代码如下: Line 91: 直接从请求体中获取config对象,未对config.command和args字段进行任何安全检查。 Lines 88-90: 虽然对config的某些字段(如url)进行了基本验证,但未对最危险的command和args字段进行过滤、清理或白名单验证。 Line 138: 包含潜在恶意命令的config对象被传递给mpService进行处理。 漏洞验证 通过以下POST请求可以触发漏洞: POC 执行上述POST请求后,可以在/tmp目录下找到包含当前用户信息的RCE.txt文件,证明远程代码执行成功。