CVE-2025-66401 - Kritische Sicherheitslücke in MCP Watch Sicherheitsscanner
⚠️ CVE-Referenzen:
CVE-2025-66401
Zusammenfassung
Die Sicherheitslücke CVE-2025-66401 mit einem kritischen Schweregrad von 9.8 wurde in der Versionn 0.1.2 und älter des MCP Watch Sicherheitsscanner entdeckt. Durch eine Schwachstelle in der "cloneRepo"-Methode können Angreifer über manipulierte GitHub-URLs beliebigen Schadcode auf dem betroffenen System ausführen. Administratoren sollten dringend ein Update auf die neueste Version von MCP Watch durchführen, um diese Lücke zu schließen.
MCP Watch is a comprehensive security scanner for Model Context Protocol (MCP) servers. In 0.1.2 and earlier, the MCPScanner class contains a critical Command Injection vulnerability in the cloneRepo method. The application passes the user-supplied githubUrl argument directly to a system shell via execSync without sanitization. This allows an attacker to execute arbitrary commands on the host machine by appending shell metacharacters to the URL.
Quelle: app.opencve.io