漏洞关键信息总结 1. 漏洞概述 CVE编号: CVE-2026-5833 漏洞名称: awwalid mcp-server-taskwarrior up to 1.0.1 index.ts server.setRequestHandler Identifier command injection 漏洞类型: 命令注入 (Command injection) 严重程度: Critical (严重) CVSS评分: Base Score 5.3, Temp Score 4.8 详细描述: 在 的 文件中, 函数存在命令注入漏洞。该漏洞源于使用了来自上游组件的外部影响输入来构建命令,但未对特殊元素进行中和或错误地中和,导致攻击者可以注入并执行恶意命令。 2. 影响范围 软件名称: mcp-server-taskwarrior 厂商: awwalid 受影响版本: 1.0.0, 1.0.1 (up to 1.0.1) 攻击条件: 必须从本地位置发起攻击 (Local: Yes, Remote: No)。 3. 修复方案 厂商状态: 厂商已联系并发布了修复版本。 修复补丁: 应用补丁 可消除此问题。 建议: 升级至修复后的版本。 4. 利用代码/POC 页面未直接展示具体的利用代码块。 根据页面信息,利用代码 (Exploit) 可在 GitHub 上下载 (The exploit is shared for download at github.com)。 状态标记为 Proof-of-Concept (概念验证)。