CVE-2026-6942: Уразливість виконання команд у radare2 mcp server

Критична уразливість в radare2-mcp дозволяє віддалене виконання команд без автентифікації. Рекомендується оновлення та обмеження доступу.
CVE-2026-6942CVSS 9.3General

CVE-2026-6942: Уразливість виконання команд у radare2 mcp server

Критична уразливість в radare2-mcp дозволяє віддалене виконання команд без автентифікації. Рекомендується оновлення та обмеження доступу.

CVSS
9.3 CRITICAL
EPSS
77.42%
Активно використовується
немає в KEV
Продукт
radare2 mcp server

Що відомо

У radare2-mcp версії 1.6.0 та раніших виявлено критичну уразливість ін’єкції команд ОС, що дозволяє віддаленим зловмисникам виконувати довільні команди через обхід фільтра команд за допомогою shell-метасимволів у вхідних даних. Уразливість експлуатується через параметри інтерфейсу jsonrpc без потреби в автентифікації.

Бізнес-вплив

Ця уразливість може призвести до повного контролю над сервером radare2-mcp, що ставить під загрозу цілісність і конфіденційність даних, а також стабільність роботи інфраструктури. ІТ-оператори повинні розглядати цю проблему як критичну, оскільки експлуатація не вимагає аутентифікації і може бути використана для масштабних атак.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від розробника radare і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до сервера radare2-mcp, ретельно перевірити журнали на ознаки експлуатації та впровадити додаткові заходи контролю доступу. Пріоритетно оцінити ризики та підвищити моніторинг системи.

Джерела