CVE-2026-6942: Уразливість виконання команд у radare2 mcp server
Критична уразливість в radare2-mcp дозволяє віддалене виконання команд без автентифікації. Рекомендується оновлення та обмеження доступу.
- CVSS
- 9.3 CRITICAL
- EPSS
- 77.42%
- Активно використовується
- немає в KEV
- Продукт
- radare2 mcp server
Що відомо
У radare2-mcp версії 1.6.0 та раніших виявлено критичну уразливість ін’єкції команд ОС, що дозволяє віддаленим зловмисникам виконувати довільні команди через обхід фільтра команд за допомогою shell-метасимволів у вхідних даних. Уразливість експлуатується через параметри інтерфейсу jsonrpc без потреби в автентифікації.
Бізнес-вплив
Ця уразливість може призвести до повного контролю над сервером radare2-mcp, що ставить під загрозу цілісність і конфіденційність даних, а також стабільність роботи інфраструктури. ІТ-оператори повинні розглядати цю проблему як критичну, оскільки експлуатація не вимагає аутентифікації і може бути використана для масштабних атак.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від розробника radare і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до сервера radare2-mcp, ретельно перевірити журнали на ознаки експлуатації та впровадити додаткові заходи контролю доступу. Пріоритетно оцінити ризики та підвищити моніторинг системи.