A vulnerability has been found in dexhunter kaggle-mcp up to 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d. This vulnerability affects the function prepare_kaggle_dataset of the file src/kaggle_mcp/server.py. The manipulation of the argument competition_id leads to path traversal. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. This product adopts a rolling release strategy to maintain continuous delivery. Therefore, version details for affected or updated releases cannot be specified. The project was informed of the problem early through an issue report but has not responded yet.
A path traversal vulnerability in dexhunter kaggle-mcp allows remote attackers to access arbitrary files by manipulating the competition_id parameter in the prepare_kaggle_dataset function. The vulnerability affects versions up to commit 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d and has been publicly disclosed.
تم اكتشاف ثغرة اجتياز مسار في مكتبة dexhunter kaggle-mcp حيث يمكن للمهاجمين التلاعب بمعامل competition_id للوصول إلى ملفات خارج الدليل المقصود. تم الكشف عن الثغرة علناً والمشروع لم يستجب للإبلاغ عنها حتى الآن.
ثغرة اجتياز المسار في dexhunter kaggle-mcp تسمح للمهاجمين بالوصول إلى ملفات عشوائية عن طريق التلاعب بمعامل competition_id. تؤثر الثغرة على الإصدارات حتى الالتزام المحدد وتم الكشف عنها علناً.
Update to the latest commit after 406127ffcb2b91b8c10e20e6c2ca787fbc1dc92d, implement strict input validation for competition_id parameter using allowlist approach, sanitize file paths to prevent directory traversal sequences, apply principle of least privilege to file access operations, and monitor for suspicious path traversal attempts in logs.
قم بالتحديث إلى أحدث التزام بعد الإصدار المتأثر، وقم بتطبيق التحقق الصارم من صحة مدخلات معامل competition_id باستخدام قائمة بيضاء، وتطهير مسارات الملفات لمنع تسلسلات اجتياز الدليل، وتطبيق مبدأ أقل صلاحية على عمليات الوصول للملفات، ومراقبة محاولات اجتياز المسار المريبة في السجلات.