CVE-2026-7590

CVE-2026-7590 es un vulnerabilidad reportada en el componente Preview Endpoint de la biblioteca eyal-gor p_69_branch_monkey_mcp, que permite a atacantes ejecutar comandos arbitrarios en sistemas afectados mediante una inyección de comandos en la función dev_script.

Descripción de la Vulnerabilidad

La vulnerabilidad se originó en un error de manejo de argumentos dentro del archivo advanced.py, ubicado en el directorio branch_monkey_mcp/bridge_and_local_actions/routes/advanced.py. El componente afectado no utiliza versioning, lo que dificulta la identificación exacta de las versiones comprometidas. La manipulación del argumento dev_script permite a un atacante inyectar comandos en el sistema operativo, lo que puede llevar a una ejecución remota de código (RCE).

Sistemas Afectados

El componente Preview Endpoint de la biblioteca eyal-gor p_69_branch_monkey_mcp, versión hasta 69bc71874ce40050ef45fde5a435855f18af3373. Dado que el producto no implementa versioning, se recomienda verificar las actualizaciones en el repositorio oficial del componente.

Impacto y Explotabilidad

La vulnerabilidad permite a un atacante ejecutar comandos arbitrarios en sistemas afectados mediante una inyección de comandos. El exploit está disponible públicamente, lo que aumenta el riesgo de exploitation. La puntuación CVSS 7.3 indica un impacto moderado pero significativo, con posibilidad de explotación remota.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Se recomienda contactar al proveedor del componente para obtener parches de seguridad. Si no es posible, se sugiere revisar las actualizaciones en el repositorio oficial de eyal-gor p_69_branch_monkey_mcp. Además, se debe limitar el acceso a componentes críticos y aplicar principios de minimización de privilegios para mitigar riesgos asociados a inyecciones de comandos.