CRITICAL🇬🇧 English

CVE-2026-44450

Lumiverse: RCE przez brak walidacji argumentów serwera MCP

CVSS 9.9v3.1pub. 2026-05-26upd. 2026-05-27

Podatność w aplikacji Lumiverse (przed wersją 0.9.7) umożliwia każdemu zalogowanemu użytkownikowi wykonanie dowolnego kodu na poziomie systemu operacyjnego serwera. Wynika to z braku walidacji tablicy argumentów przekazywanych do procesu potomnego podczas tworzenia serwera MCP.

Pokaż oryginał (EN)

Lumiverse is a full-featured AI chat application. Prior to 0.9.7, the MCP server creation endpoint validates the command field against an allowlist of binary names but forwards the args array to the child process without any validation. Every binary on the allowlist accepts an inline-code execution flag (-e for node/bun, -c for python3/deno), giving any logged-in user arbitrary OS-level code execution on the Lumiverse server. The route requires only requireAuth (not requireOwner). The server binds on all interfaces (::) and the host-header rebinding check is bypassed trivially by any HTTP client that sends Host: localhost:<port> directly, making this exploitable from any machine with network access to the server port. This vulnerability is fixed in 0.9.7.

🤖 Analiza AI
Jak działa

Endpoint tworzenia serwera MCP weryfikuje pole 'command' względem listy dozwolonych binariów (m.in. node, bun, python3, deno), jednak tablica 'args' jest przekazywana do procesu potomnego bez żadnej walidacji. Każde z dozwolonych binariów akceptuje flagę umożliwiającą wykonanie kodu inline (np. -e dla node/bun, -c dla python3/deno), co pozwala na wstrzyknięcie dowolnego kodu. Endpoint wymaga jedynie uwierzytelnienia (requireAuth), a nie uprawnień właściciela (requireOwner). Dodatkowo serwer nasłuchuje na wszystkich interfejsach (::), a zabezpieczenie oparte na nagłówku Host można trywialnie obejść, wysyłając nagłówek 'Host: localhost:<port>' z dowolnego klienta HTTP mającego dostęp sieciowy do portu serwera.

Skutki

Atakujący z dostępem sieciowym do portu serwera i ważnym kontem użytkownika może wykonać dowolny kod na poziomie systemu operacyjnego serwera Lumiverse, uzyskując pełną kontrolę nad systemem, w tym poufność, integralność i dostępność danych.

Mitygacja

Należy zaktualizować Lumiverse do wersji 0.9.7, w której podatność została naprawiona. Szczegóły dostępne w referencjach producenta: https://github.com/prolix-oc/Lumiverse/security/advisories/GHSA-mfwv-ch2f-9j5v

Kogo dotyczy

Lumiverse w wersjach wcześniejszych niż 0.9.7

Uwagi

Podatność sklasyfikowana jako CWE-88 (argument injection). Obejście mechanizmu weryfikacji nagłówka Host sprawia, że eksploitacja jest możliwa z dowolnej maszyny mającej dostęp sieciowy do portu serwera, nie tylko z localhost.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje