الثغرات ›

CVE-2026-7653

متوسط

CWE-77 — نوع الضعف

                    نُشر: May 2, 2026                      ·  آخر تحديث: May 5, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A security flaw has been discovered in r-huijts mcp-server-rijksmuseum up to 1.0.4. Affected is the function open_image_in_browser of the file src/index.ts of the component MCP Interface. Performing a manipulation of the argument imageUrl results in os command injection. The attack is possible to be carried out remotely. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.

🤖 ملخص AI

A command injection vulnerability exists in mcp-server-rijksmuseum up to version 1.0.4 in the open_image_in_browser function, allowing remote attackers to execute arbitrary OS commands via manipulation of the imageUrl parameter. The vulnerability has public exploits available and affects systems using this MCP interface component.

📄 الوصف (العربية)

ثغرة حقن أوامر نظام التشغيل في مكون واجهة MCP الخاص بـ mcp-server-rijksmuseum تسمح بتنفيذ أوامر تعسفية عبر معامل imageUrl غير المحقق. الثغرة قابلة للاستغلال عن بعد وتم الإفراج عن استغلالات عامة لها. المشروع لم يستجب بعد للإبلاغ عن المشكلة.

🤖 ملخص تنفيذي (AI)

ثغرة حقن أوامر موجودة في mcp-server-rijksmuseum حتى الإصدار 1.0.4 في دالة open_image_in_browser، مما يسمح للمهاجمين البعيدين بتنفيذ أوامر نظام تشغيل عشوائية عبر معالجة معاملات imageUrl. الثغرة لها استغلالات عامة متاحة وتؤثر على الأنظمة التي تستخدم مكون واجهة MCP هذا.

🤖 التحليل الذكي آخر تحليل: May 18, 2026 10:40

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government healthcare

🎯 تقنيات MITRE ATT&CK

T1059.001 T1190 T1203

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade mcp-server-rijksmuseum to version 1.0.5 or later immediately. Implement input validation and sanitization for the imageUrl parameter to prevent command injection. Use parameterized commands or safe APIs instead of shell execution. Apply network segmentation to restrict access to MCP server interfaces. Monitor for suspicious command execution patterns in system logs.

🔧 خطوات المعالجة (العربية)

قم بترقية mcp-server-rijksmuseum إلى الإصدار 1.0.5 أو أحدث على الفور. قم بتطبيق التحقق من صحة المدخلات والتطهير لمعامل imageUrl لمنع حقن الأوامر. استخدم الأوامر المعاملة أو واجهات برمجية آمنة بدلاً من تنفيذ shell. طبق تقسيم الشبكة لتقييد الوصول إلى واجهات خادم MCP. راقب أنماط تنفيذ الأوامر المريبة في سجلات النظام.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1 A.12.6

🔵 SAMA CSF

ID.RA-1 PR.IP-1 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/r-huijts/rijksmuseum-mcp/issues/9

cna@vuldb.com

🔗

https://vuldb.com/submit/806909

cna@vuldb.com

🔗

https://vuldb.com/vuln/360778

cna@vuldb.com

🔗

https://vuldb.com/vuln/360778/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-77

EPSS0.33%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-02

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-77

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7653

عرّفنا بنفسك

تسجيل الدخول مطلوب