漏洞概要 漏洞编号: #802911 漏洞标题: WilliamCloudQi matlab-mcp-server Commit a88f6b59bf5f36f725e8628029f7f6dd0d9913ca Path Traversal 漏洞类型: 任意文件写入漏洞 (CWE-22) 状态: 已确认 (Confirmed) 提交时间: 2025-04-11 确认时间: 2025-04-28 漏洞概述 在 的 中发现了一个任意文件写入漏洞。该漏洞存在于 和 MCP 工具中,这些工具接受用户提供的 参数,并将其直接用作文件系统写入目标,而未强制执行安全的基础目录、拒绝绝对路径或限制父目录遍历。攻击者利用网络访问 MCP 接口,可以将受控内容写入服务器进程可写的任意文件系统路径,可能导致完整性破坏、数据损坏或进一步利用。 影响范围 受影响组件: 受影响文件: 受影响工具: , 修复方案 目前尚无修复版本。建议在使用时谨慎处理用户提供的 参数,确保其不包含路径遍历序列,并限制写入目录。 漏洞利用代码 (POC)