CVE-2026-7159
Descripción de la Vulnerabilidad
CVE-2026-7159 se registra como una vulnerabilidad en el plugin douinc mkdocs-mcp-plugin, que afecta versiones hasta 0.4.1. La falla está relacionada con la función read_document/list_documents del archivo server.py. Un ataque puede realizarse mediante la manipulación del argumento docs_dir/file_path, lo que permite una traversal de ruta (navegación entre directorios). Este tipo de vulnerabilidad permite a un atacante acceder a archivos sensibles o incluso ejecutar código malicioso, ya que el exploit puede ser llevado a cabo de forma remota.
Sistemas Afectados
La vulnerabilidad afecta el plugin douinc mkdocs-mcp-plugin, específicamente las versiones hasta 0.4.1. La función crítica está implementada en el archivo server.py, donde se manejan solicitudes de lectura de documentos. Los sistemas que utilizan esta versión del plugin y dependen de su funcionalidad de gestión de archivos están expuestos.
Impacto y Explotabilidad
El CVSS Score asociado a este漏洞 es 7.3 (alto), lo que refleja un impacto significativo. La vulnerabilidad permite a un atacante acceder a archivos del sistema local o incluso ejecutar código malicioso, ya que el exploit puede ser realizado de forma remota. Según el fabricante, se han publicado detalles del exploit y se espera que la corrección (patch) esté disponible en unos días. Sin embargo, hasta ahora no existen medidas preventivas eficaces para mitigar el riesgo.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación y Parches
El fabricante del software ha confirmado que la corrección ("fix") será publicada en los próximos días. Por ahora, se recomienda:
- Actualización inmediata: Actualizar a una versión posterior a 0.4.1 si es posible.
- Revisión de permisos: Limitar los permisos de acceso a los archivos y directorios que se manejan en la aplicación.
- Monitoreo: Supervisar el sistema para detectar actividades anómalas relacionadas con la lectura de archivos no autorizados.