CVE-2026-44717

MCP Calculate Server: Prompt Injection to RCE

CVSS 9.8 CRITICALEPSS 0.5%CWE-1427 CWE-94

En resumen

El servidor MCP Calculate utiliza una función insegura (eval) para procesar expresiones matemáticas sin validación, permitiendo que atacantes ejecuten cualquier código en el servidor inyectando comandos maliciosos disfrazados de problemas matemáticos.

Detalle técnico

La vulnerabilidad proviene del uso no sanitizado de eval() para evaluar expresiones matemáticas suministradas por el usuario, permitiendo ejecución de código arbitrario mediante inyección de prompt. Un atacante remoto no autenticado puede crear una entrada maliciosa que rompa el contexto de evaluación matemática para ejecutar comandos del sistema con privilegios del servidor. Esta combinación de CWE-94 (control inadecuado de generación de código) con CWE-1427 resulta en compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

MCP Calculate Server is a mathematical calculation service based on MCP protocol and SymPy library. Prior to 0.1.1, the use of eval() to evaluate mathematical expressions without proper input sanitization leads to remote code execution. This vulnerability is fixed in 0.1.1.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

611711Dark · mcp_calculate_server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/611711Dark/mcp_calculate_server/security/advisories/GHSA-2mgq-7rfg-rwpj