CVE-2026-7206: Vulnerabilidad en dubydu sqlite-mcp

CVE-2026-7206 es una vulnerabilidad crítica descubierta en la biblioteca dubydu sqlite-mcp, afectando versiones hasta 0.1.0. La falla está relacionada con la función extract_to_json del archivo src/entry.py, donde un mal manejo de los argumentos puede permitir la inyección SQL, permitiendo ataques remotos.

Descripción de la Vulnerabilidad

La vulnerabilidad surge de una manipulación incorrecta del parámetro output_filename en la función extract_to_json. Esto permite a un atacante inyectar código SQL malicioso, lo que puede llevar a la extracción de datos sensibles o acceso no autorizado al sistema. La vulnerabilidad fue confirmada y su parche está disponible para mitigar el riesgo.

Sistemas Afectados

La vulnerabilidad afecta todas las versiones de dubydu sqlite-mcp hasta la 0.1.0. Los usuarios que dependen de esta biblioteca en aplicaciones críticas deben revisar su configuración y actualizar a versiones posteriores.

Impacto y Explotabilidad

El CVSS Score asociado es 7.3 (ALTO), lo que indica un riesgo significativo. La inyección SQL puede ser explotada remota, permitiendo a atacantes obtener información sensible o comprometer sistemas externos. Dado el alto nivel de severidad, se recomienda actuar con prontitud.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución recomendada es aplicar el parche a5580cb992f4f6c308c9ffe6442b2e76709db548, que corrige la vulnerabilidad en la función mencionada. Los desarrolladores deben asegurarse de actualizar las dependencias y validar el uso de bibliotecas como dubydu sqlite-mcp para evitar riesgos asociados a inyecciones SQL.