CVE-2026-7446

Descripción de la Vulnerabilidad

CVE-2026-7446 es una vulnerabilidad detectada en el componente mcp-server-semgrep versión 1.0.0 del proyecto VetCoders. La falla afecta las funciones analyze_results/filter_results/export_results/compare_results/scan_directory/create_rule del archivo src/index.ts del módulo MCP Interface. El ataque explota una inyección de comandos en la manipulación del argumento ID, permitiendo la ejecución remota de código malicioso.

La vulnerabilidad tiene un nivel de gravedad moderado (CVSS: 7.3) y su exploit está disponible públicamente, lo que requiere atención inmediata para mitigar el riesgo de compromiso de sistemas afectados.

Sistemas Afectados

El componente mcp-server-semgrep versión 1.0.0 del proyecto VetCoders es el único sistema afectado. La vulnerabilidad se concentra en las funciones mencionadas dentro del módulo MCP Interface, específicamente en el archivo src/index.ts.

Impacto y Explotabilidad

El ataque permite la inyección de comandos OS mediante la manipulación del parámetro ID, lo que podría permitir a un atacante no autorizado ejecutar código malicioso en el sistema. La vulnerabilidad es explotable remota, sin necesidad de autenticación previa. Sin mitigaciones, podría llevar a la compromiso de sistemas que dependan del componente afectado.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La mitigación más efectiva es actualizar el componente mcp-server-semgrep a la versión 1.0.1, que incluye un parche con el commit hash 141335da044e53c3f5b315e03. Este parche corrige la inyección de comandos en la lógica de manejo del parámetro ID, evitando la ejecución no autorizada de código en el sistema.