漏洞关键信息 标题: (0Day) mcp-server-siri-shortcuts shortcutName Command Injection Privilege Escalation Vulnerability ID: ZDI-26-024 ZDI-CAN-27910 CVE-2026-0758 CVSS 评分: 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 影响的供应商: mcp-server-siri-shortcuts 影响的产品: mcp-server-siri-shortcuts 漏洞详情: 该漏洞允许本地攻击者在受影响的 mcp-server-siri-shortcuts 安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 具体的缺陷存在于 shortcutName 参数中。问题源于在执行系统调用之前,对用户提供的字符串缺乏适当的验证。攻击者可以利用此漏洞提升权限并以服务帐户的上下文执行任意代码。 额外详情: 2025年9月23日 - ZDI 在 GitHub 问题中请求供应商的 PSIRT 联系方式 2025年9月23日 - 供应商提供了其联系方式 2025年9月24日 - ZDI 向供应商提交了报告 2025年11月10日 - ZDI 要求更新 2025年12月14日 - ZDI 通知供应商有意将此案例作为 0 Day 咨询文件发布 披露时间线: 2025-09-23 - 向供应商报告漏洞 2026-01-09 - 协调发布的咨询文件 2026-01-09 - 更新咨询文件 弱化措施: 鉴于漏洞的性质,唯一有效的缓解策略是限制与产品的交互 来源: Peter Girnus (@gothburz) 和 Brandon Niemczyk,Trend Zero Day Initiative