一、 漏洞 CVE-2025-53818 基础信息
漏洞信息
# github-kanban-mcp-server 命令注入漏洞
## 概述
GitHub Kanban MCP Server 是一个用于管理和改进LLM任务管理的Model Context Protocol (MCP)服务器。它可以在Kanban板格式中管理GitHub问题。版本0.3.0和0.4.0中存在命令注入漏洞。
## 影响版本
- 0.3.0
- 0.4.0
## 细节
MCP Server中的`add_comment`工具依赖于Node.js子进程API `exec`来执行GitHub (`gh`)命令。当与不受信任的用户输入拼接时,这是一个不安全且易受攻击的API。目前没有已知的补丁可用。
## 影响
该漏洞可能导致命令注入攻击,从而使攻击者能够执行任意命令,进而控制服务器。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-53818 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53818 的情报信息
-
标题: Command Injection in MCP Server github-kanban-mcp-server · Advisory · Sunwood-ai-labs/github-kanban-mcp-server · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: github-kanban-mcp-server/src/handlers/tool-handlers.ts at main · Sunwood-ai-labs/github-kanban-mcp-server · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: github-kanban-mcp-server/src/handlers/comment-handlers.ts at main · Sunwood-ai-labs/github-kanban-mcp-server · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: github-kanban-mcp-server/src/handlers/comment-handlers.ts at v0.4.0 · Sunwood-ai-labs/github-kanban-mcp-server · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53818