📄 Description (English)
A security vulnerability has been detected in MoussaabBadla code-screenshot-mcp up to 0.1.0. This affects an unknown part of the component HTTP Interface. Such manipulation leads to os command injection. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
🤖 AI Executive Summary
CVE-2026-5528 is a remote OS command injection vulnerability in MoussaabBadla code-screenshot-mcp versions up to 0.1.0 affecting the HTTP Interface component. With a CVSS score of 6.3 (medium), this vulnerability allows unauthenticated remote attackers to execute arbitrary operating system commands. The exploit has been publicly disclosed and the vendor has not responded to disclosure attempts, leaving organizations without an official patch.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: May 18, 2026 17:23
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi organizations using code-screenshot-mcp in development, testing, or production environments. Most at-risk sectors include: Government agencies (NCA, CITC) using this tool for security testing or documentation; Financial institutions (SAMA-regulated banks) if integrated into development pipelines; Telecommunications companies (STC, Mobily) for infrastructure automation; Healthcare organizations (MOH) using screenshot tools for compliance documentation; Energy sector (ARAMCO, SEC) for operational technology documentation. The lack of vendor response and public exploit availability elevates risk for all users.
🏢 Affected Saudi Sectors
Government
Banking
Telecommunications
Healthcare
Energy
Software Development
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all systems running MoussaabBadla code-screenshot-mcp versions 0.1.0 and earlier
2. Isolate affected systems from production networks or restrict HTTP interface access to trusted networks only
3. Implement network-level access controls (WAF, firewall rules) to restrict access to the HTTP interface
4. Monitor for suspicious command execution patterns in application logs
Patching Guidance:
1. Check vendor repository for updates beyond 0.1.0
2. If no patch available, consider alternative screenshot tools (e.g., Playwright, Puppeteer, Selenium)
3. If replacement not feasible, implement input validation and sanitization for all HTTP parameters
Compensating Controls:
1. Run the application in a restricted container/sandbox with minimal OS privileges
2. Disable shell metacharacters in input validation (;, |, &, $, `, etc.)
3. Use allowlist-based input validation for all HTTP parameters
4. Implement command execution logging and alerting
5. Apply principle of least privilege to application service accounts
Detection Rules:
1. Monitor for HTTP requests containing shell metacharacters to the application endpoint
2. Alert on unexpected child process spawning from the application process
3. Log and alert on any OS command execution initiated by the application
4. Monitor for outbound network connections from the application process
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع الأنظمة التي تقوم بتشغيل MoussaabBadla code-screenshot-mcp الإصدارات 0.1.0 والإصدارات الأقدم
2. عزل الأنظمة المتأثرة عن شبكات الإنتاج أو تقييد وصول واجهة HTTP إلى الشبكات الموثوقة فقط
3. تنفيذ عناصر تحكم الوصول على مستوى الشبكة (WAF، قواعد جدار الحماية) لتقييد الوصول إلى واجهة HTTP
4. مراقبة أنماط تنفيذ الأوامر المريبة في سجلات التطبيق
إرشادات التصحيح:
1. التحقق من مستودع البائع للتحديثات بعد 0.1.0
2. إذا لم يكن هناك تصحيح متاح، فكر في أدوات لقطة بديلة (مثل Playwright أو Puppeteer أو Selenium)
3. إذا لم يكن الاستبدال ممكناً، قم بتنفيذ التحقق من صحة المدخلات والتطهير لجميع معاملات HTTP
عناصر التحكم التعويضية:
1. تشغيل التطبيق في حاوية/صندوق محدود مع امتيازات نظام التشغيل الدنيا
2. تعطيل أحرف قذيفة في التحقق من صحة المدخلات (؛ | & $ ` إلخ)
3. استخدام التحقق من صحة المدخلات على أساس القائمة البيضاء لجميع معاملات HTTP
4. تنفيذ تسجيل التنبيهات لتنفيذ الأوامر
5. تطبيق مبدأ أقل امتياز على حسابات خدمة التطبيق
قواعد الكشف:
1. مراقبة طلبات HTTP التي تحتوي على أحرف قذيفة إلى نقطة نهاية التطبيق
2. التنبيه على توليد العمليات الفرعية غير المتوقعة من عملية التطبيق
3. تسجيل والتنبيه على أي تنفيذ أوامر نظام التشغيل الذي يبدأه التطبيق
4. مراقبة الاتصالات الشبكية الصادرة من عملية التطبيق
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.14.2.1 - Secure development policy
ECC 2024 A.12.3.1 - Configuration management
🔵 SAMA CSF
SAMA CSF ID.RA-1 - Asset Management and Vulnerability Management
SAMA CSF PR.IP-12 - Software development and quality assurance
SAMA CSF DE.CM-8 - Vulnerability scans
🟡 ISO 27001:2022
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
ISO 27001:2022 A.14.2.1 - Secure development, test and acceptance processes
ISO 27001:2022 A.12.3.1 - Configuration management
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Ensure security patches are installed
PCI DSS 6.5.1 - Injection flaws prevention
PCI DSS 11.2 - Vulnerability scanning