CVE-2026-7315

Descripción de la Vulnerabilidad

CVE-2026-7315 es una vulnerabilidad reportada en el componente PDF File Handler del software eiceblue spire-pdf-mcp-server, versión 0.1.1. La falla afecta la función get_pdf_path del archivo src/spire_pdf_mcp/server.py. Al manipular el argumento filepath, un atacante puede explotar una vulnerabilidad de recorrido de camino (path traversal), permitiendo la lectura o escritura de archivos en el sistema de archivos del servidor.

La vulnerabilidad permite ataques remotos, ya que no requiere autenticación. Se informa que el exploit fue publicado y podría ser utilizado por malintencionados. Aunque el proyecto fue notificado sobre la problemática desde un reporte inicial, no ha respondido aún respecto a correcciones o comunicaciones adicionales.

Sistemas Afectados

La vulnerabilidad afecta específicamente:

• eiceblue spire-pdf-mcp-server: Versión 0.1.1 del componente PDF File Handler.
• Funcionalidad: La función get_pdf_path en el archivo src/spire_pdf_mcp/server.py.

Impacto y Explotabilidad

El CVSS Score asignado a esta vulnerabilidad es 7.3 (alto), lo que indica un riesgo significativo. El vector de evaluación es:

El ataque puede ser lanzado remotamente sin necesidad de autenticación, lo que aumenta la posibilidad de acceso no autorizado a archivos sensibles del servidor.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Hasta ahora, no se ha proporcionado información sobre parches o correcciones por parte del desarrollador. Se recomienda que los usuarios afectados:

• Monitoreen actualizaciones oficiales del software.
• Eviten la ejecución de versiones antiguas sin medidas de seguridad adicionales.
• Aplicar contención si se detectan actividades sospechosas en sistemas con esta vulnerabilidad.