CVE-2026-7237

Descripción de la Vulnerabilidad

CVE-2026-7237 es una vulnerabilidad reportada en el componente scaffold-mcp de la aplicación AgiFlow, afectando versiones hasta 1.0.27. La falla surge del manejo inadecuado del parámetro file_path dentro del herramienta "write-to-file", lo que permite a un atacante realizar traversal de rutas (path traversal). Este tipo de vulnerabilidades puede ser explotada remota mente, permitiendo al malicioso acceder a archivos o directorios no autorizados.

Sistemas Afectados

La vulnerabilidad afecta el componente scaffold-mcp en versiones de AgiFlow hasta 1.0.27. Específicamente, el archivo packages/scaffold-mcp/src/server/index.ts dentro del tool "write-to-file" es el foco de la falla.

Impacto y Explotabilidad

El impacto de esta vulnerabilidad es medio alto, con un puntaje CVSS de 7.3. La explotación puede permitir a un atacante acceder a recursos del sistema o incluso comprometer la seguridad de la aplicación si no se aplican medidas preventivas. La posibilidad de explotación remota aumenta el riesgo para sistemas que no implementen validaciones estrictas en el manejo de rutas.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución más recomendada es actualizar el componente scaffold-mcp a la versión 1.1.0, que incluye el parche c4d23592ae5fb59cfeefc4641e6826f8ac89b9c6. Este parche corrige el manejo inadecuado del parámetro file_path, evitando la posibilidad de travesía de rutas. Los usuarios deben revisar las actualizaciones oficiales de AgiFlow para garantizar la seguridad.