CVE-2026-7272

Descripción de la Vulnerabilidad

CVE-2026-7272 es una vulnerabilidad relacionada con el componente matlab-mcp-server de WilliamCloudQi, afectando versiones hasta el commit ab88f6b9bf5f36f725e8628029f7f6dd0d9913ca. La falla surge en la función generate_matlab_code/execute_matlab_code del archivo src/index.ts de la interfaz MCP. Al manipular el argumento scriptPath, un atacante podría provocar una traversal de rutas, permitiendo acceder a archivos o directorios no autorizados.

Sistemas Afectados

La vulnerabilidad afecta el componente MCP Interface del software matlab-mcp-server de WilliamCloudQi. Específicamente, cualquier sistema que esté utilizando versiones del componente hasta la commit hash mencionada (ab88f6b9bf5f36f725e8628029f7f6dd0d9913ca) podría estar expuesto.

Impacto y Explotabilidad

El ataque puede realizarse de forma remota, lo que significa que un atacante podría aprovechar la vulnerabilidad sin necesidad de tener acceso directo al sistema. La calificación CVSS de 7.3 indica un impacto moderado. Además, se ha publicado el exploit, lo que sugiere que ya existen métodos conocidos para explotar esta falla. Sin embargo, el desarrollador del proyecto no ha respondido a la reporte de la vulnerabilidad.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Aunque no se han publicado parches oficiales, se recomienda: - Validar entradas: Implementar validaciones estrictas para los parámetros de entrada en aplicaciones que manejen código MATLAB. - Actualización: Actualizar a versiones más recientes del componente si están disponibles. - Monitoreo: Supervisar el sistema para detectar actividades anómalas relacionadas con la ejecución de scripts no autorizados.