CVE-2026-7149

Descripción de la Vulnerabilidad

CVE-2026-7149 es una vulnerabilidad relacionada con el componente dexhunter kaggle-mcp, que afecta versiones hasta la commit hash 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d. La vulnerabilidad surge en la función prepare_kaggle_dataset del archivo src/kaggle_mcp/server.py, donde el manejo incorrecto del parámetro competition_id permite una traversada de rutas (path traversal). Este tipo de vulnerabilidad permite a un atacante acceder a archivos o directorios no autorizados, incluso de forma remota.

La vulnerabilidad ha sido divulgada al público y puede ser explotada por usuarios malintencionados. El producto utiliza una estrategia de actualización en rol (rolling release), lo que significa que las versiones se liberan continuamente, pero no se proporciona información específica sobre el nivel de gravedad CVSS 7.3.

Sistemas Afectados

La vulnerabilidad afecta a la versión del producto dexhunter kaggle-mcp hasta la commit hash 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d. Los usuarios que estén utilizando esta versión o versiones anteriores están expuestos a un posible ataque de tipo path traversal.

Impacto y Explotabilidad

La vulnerabilidad permite la explotación remota, lo que implica que un atacante podría aprovecharla para acceder a recursos del sistema sin necesidad de autenticación. El nivel de gravedad CVSS 7.3 sugiere que el impacto es medio, aunque no se especifican detalles adicionales sobre la complejidad o el tiempo de respuesta.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución recomendada es actualizar el software dexhunter kaggle-mcp a una versión posterior a la commit hash 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d. La estrategia de actualización en rol (rolling release) sugiere que se deben revisar las versiones disponibles para aplicar correcciones de seguridad. Los desarrolladores deben revisar el manejo de parámetros críticos como competition_id para evitar vulnerabilidades similares.