CVE-2025-11202
Mis à jour :
Injection de commandes critique dans win-cli-mcp-server
Une vulnérabilité de type injection de commandes permet à des attaquants distants d’exécuter du code arbitraire sur les installations affectées de win-cli-mcp-server. L’exploitation de cette faille, identifiée sous la référence CVE-2025-11202, ne nécessite aucune authentification.
La faille réside dans l’implémentation de la méthode resolveCommandPath, où la validation d’une chaîne fournie par l’utilisateur est insuffisante avant son utilisation dans un appel système. Cela permet à un attaquant d’exécuter du code dans le contexte du compte de service. Cette vulnérabilité est également connue sous le nom de ZDI-CAN-27787.
Points Clés :
- Type de vulnérabilité : Injection de commandes et exécution de code à distance (RCE).
- Produit affecté :
win-cli-mcp-server. - Impact : Permet l’exécution de code arbitraire sur le système cible.
- Prérequis : Aucune authentification requise.
- Score CVSS 3.0 : 9.8 (critique).
Vulnérabilité :
- CVE-2025-11202 : Injection de commandes dans la méthode
resolveCommandPathdewin-cli-mcp-server.
Recommandations :
L’article ne détaille pas de recommandations spécifiques de correction ou de mesures préventives. Cependant, étant donné la criticité de la vulnérabilité, une analyse et une mitigation rapide seraient appropriées. L’absence de validation adéquate des entrées utilisateur dans les appels système est le point faible principal.