CVE-2026-7738
puchunjie doc-tools-mcp MCP mcp-server.ts open_document path traversal
Vexday Risk Score
33Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 5.3EPSS 0.3%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
04 may 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
A security flaw has been discovered in puchunjie doc-tools-mcp 1.0.18. This affects the function create_document/open_document of the file src/mcp-server.ts of the component MCP Interface. The manipulation of the argument filePath results in path traversal. The attack can be launched remotely. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
Productos afectados
puchunjie · doc-tools-mcpPoCs públicas encontradas — 1
cve_referencegithub.com/BruceJqs/public_exp/issues/38no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.