CVE-2026-44717

MCP Calculate Server: Prompt Injection to RCE

CVSS 9.8 CRITICALEPSS 0.5%CWE-1427 CWE-94

Em resumo

O servidor MCP Calculate usa uma função insegura (eval) para processar expressões matemáticas sem validação, permitindo que atacantes executem qualquer código no servidor injetando comandos maliciosos disfarçados de problemas matemáticos.

Detalhe técnico

A vulnerabilidade decorre do uso não sanitizado de eval() para avaliar expressões matemáticas fornecidas pelo usuário, possibilitando execução de código arbitrário através de injeção de prompt. Um atacante remoto não autenticado pode criar uma entrada maliciosa que quebra o contexto de avaliação matemática para executar comandos do sistema com privilégios do servidor. Essa combinação de CWE-94 (controle inadequado de geração de código) com CWE-1427 resulta em comprometimento total do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

MCP Calculate Server is a mathematical calculation service based on MCP protocol and SymPy library. Prior to 0.1.1, the use of eval() to evaluate mathematical expressions without proper input sanitization leads to remote code execution. This vulnerability is fixed in 0.1.1.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

611711Dark · mcp_calculate_server

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/611711Dark/mcp_calculate_server/security/advisories/GHSA-2mgq-7rfg-rwpj