Untrusted Roslyn Analyzer Execution via MCP get_diagnostics Leads to RCE

漏洞概述 标题: Untrusted Roslyn Analyzer Execution via get_diagnostics Leads to Arbitrary Code Execution 描述: 该漏洞涉及通过 MCP 工具加载并执行所有 程序集，而无需任何白名单、签名检查或用户确认。攻击者可以放置一个恶意的 文件，引用攻击者控制的 DLL，从而在服务器进程中实现任意代码执行。 影响范围 受影响版本: >= 0.0.9, < 117.0 修复版本: 117.0 CVSS 3.1 评分: 7.8 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 漏洞类型: CWE-94 - Improper Control of Generation of Code 严重性: High 修复方案 1. 默认设置 为 : 在 中，确保分析器执行需要显式选择。 2. 实现分析器白名单: 在 (行 40-42) 中，比较每个 程序集路径与可配置的一组信任路径或强命名公共密钥，然后调用 ，跳过或警告未识别的程序集。 3. 在沙盒子进程中运行分析器: 例如，使用 或 OS 级隔离的受限 子进程，确保分析器代码无法访问 MCP 服务器的标准通道或文件系统凭据。 4. 显示一次性确认提示: 当遇到新的分析器 DLL 路径时，向 MCP 客户端显示一次性确认提示，类似于某些 IDE 在加载未知分析器之前的行为。 POC 代码 文件系统副作用（任意代码执行证据） 影响 任何能够以 或 形式提供恶意分析器的攻击者，都可以以 MCP 服务器进程的所有权限执行任意本机代码。由于 MCP 服务器通常以开发者的本地用户凭据运行，并由 AI 助手自动调用，因此从不受信任源打开的单个恶意项目足以导致完整的系统妥协（读取/写入文件系统、提取凭据、安装持久性）。无需对 MCP 协议层进行身份验证， 调用是唯一的先决条件。

Goal Reached Thanks to every supporter — we hit 100%!

Untrusted Roslyn Analyzer Execution via MCP get_diagnostics Leads to RCE

More from this source