A vulnerability has been found in Divyanshu-hash GitPilot-MCP up to 9ed9f153ba4158a2ad230ee4871b25130da29ffd. This impacts the function repo_path of the file main.py. Such manipulation of the argument command leads to command injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. This product does not use versioning. This is why information about affected and unaffected releases are unavailable. The vendor was contacted early about this disclosure but did not respond in any way.
GitPilot-MCP contains a command injection vulnerability in the repo_path function of main.py that allows remote attackers to execute arbitrary commands. The vulnerability affects all versions up to commit 9ed9f153ba4158a2ad230ee4871b25130da29ffd and has been publicly disclosed.
تحتوي أداة GitPilot-MCP على ثغرة حقن أوامر في دالة repo_path بملف main.py تسمح بمعالجة غير آمنة لمعاملات الأوامر. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر نظام عشوائية بامتيازات التطبيق. تم الكشف عن الثغرة علناً والبائع لم يستجب لإشعارات الأمان.
GitPilot-MCP يحتوي على ثغرة حقن أوامر في دالة repo_path في ملف main.py تسمح للمهاجمين البعيدين بتنفيذ أوامر عشوائية. تؤثر الثغرة على جميع الإصدارات حتى الالتزام 9ed9f153ba4158a2ad230ee4871b25130da29ffd وتم الكشف عنها علناً.
Immediately discontinue use of GitPilot-MCP until a patched version is released. Implement input validation and sanitization for all command arguments, particularly the command parameter in repo_path. Apply principle of least privilege to limit impact of command execution. Monitor for suspicious command execution patterns. Contact vendor for security updates or consider alternative solutions.
توقف فوراً عن استخدام GitPilot-MCP حتى يتم إصدار نسخة مصححة. تطبيق التحقق من صحة المدخلات وتنظيفها لجميع معاملات الأوامر، خاصة معامل الأمر في repo_path. تطبيق مبدأ الامتيازات الأقل لتقليل تأثير تنفيذ الأوامر. مراقبة أنماط تنفيذ الأوامر المريبة. التواصل مع البائع للحصول على تحديثات الأمان أو النظر في حلول بديلة.