关键漏洞信息 漏洞概述 漏洞类型: 远程代码执行 (RCE) 原因: godot-mcp MCP服务器中未经验证的 变量直接插入命令行字符串中导致的命令注入漏洞。具体通过 函数带shell解析命令行字符串实现,使得用户控制的输入将直接被解析并执行,允许命令替换与特殊字符注入。 漏洞详细描述 这个情况会在MCP服务器工具中通过执行用户输入的未经验证的路径构建和执行shell命令导致。这个方法允许通过 specially constructed 参数注入shell命令,从而在服务器进程的权限下远程执行代码。 漏洞代码示例 漏洞利用实例 通过MCP Inspector工具利用漏洞执行任意命令。 在 参数构造非法路径(如含特殊字符 等)利用命令注入技术执行恶意命令。 解决方案 将命令执行方法从 调整为 ,直接执行文件,不受shell interference影响。参考PR分支 的变动和wcole3的确认测试。