概要
WeKnora(Tencent)は データベース管理 ツール です。バージョン 0.2.10 より 前 に おいて、MCP(Model Context Protocol)の stdio 設定 における コマンド バリデーション に 脆弱性 が 存在 します。
攻撃者 は npx の -p フラグ を 利用 して ホワイトリスト・ブラックリスト に よる コマンド 制限 を バイパス し、任意 の OS コマンド を 実行 する こと が 可能 です。CWE-78(OS Command Injection)に 分類 される この 脆弱性 は、システム 全体 の 侵害 に 直結 する 可能性 が あります。
MCP stdio 機能 を 使用 して いる 環境 で は、速やか に バージョン 0.2.10 以降 へ の アップデート が 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.9 |
| 深刻度 | Critical |
| CWE | CWE-78 (OSコマンドインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| WeKnora | Tencent | 0.2.10 より前 |
修正バージョンと回避策
- 修正バージョン: WeKnora 0.2.10 以降 へ の アップデート
- 暫定回避策: MCP stdio 設定 の 利用 を 一時的 に 無効化 し、外部 コマンド の 実行 を 制限 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。