ibreakthingsforaliving/CVE-2026-23744-PoC
GitHub: ibreakthingsforaliving/CVE-2026-23744-PoC
该项目是 MCPJam inspector 远程代码执行漏洞(CVE-2026-23744)的概念验证工具,用于复现和验证因默认监听 0.0.0.0 导致的 RCE 攻击链。
Stars: 9 | Forks: 2
# 描述
MCPJam inspector 是用于 MCP 服务器的本地优先开发平台。1.4.2 及更早版本存在远程代码执行(RCE)漏洞,允许攻击者发送特制的 HTTP 请求来触发 MCP 服务器的安装,从而导致 RCE。由于 MCPJam inspector 默认监听 0.0.0.0 而不是 127.0.0.1,攻击者可以通过简单的 HTTP 请求远程触发 RCE。1.4.3 版本包含针对此漏洞的补丁。
# 受影响版本
| **漏洞来源** | **受影响版本** | **已修复版本** |
| :--- | :--- | :--- |
| [`@mcpjam/inspector`](https://github.com/advisories/GHSA-232v-j27c-5pp6) | <= 1.4.2 | 1.4.3
# 概念验证
### 1. 启动 MCPJam inspector
```
npx @mcpjam/inspector@1.4.2
```
### 2. 运行 Python 脚本
```
python3 exploit.py 'id > /tmp/mcpjam_pwned.txt'
```
### 截图
![[Pasted image 20260120135006.png]](https://github.com/boroeurnprach/CVE-2026-23744-PoC/blob/main/Assets/Pasted%20image%2020260120135006.png)
**在受害者服务器上:**
![[Pasted image 20260120135151.png]](https://github.com/boroeurnprach/CVE-2026-23744-PoC/blob/main/Assets/Pasted%20image%2020260120135151.png)
![[Pasted image 20260120150109.png]](https://github.com/boroeurnprach/CVE-2026-23744-PoC/blob/main/Assets/Pasted%20image%2020260120150109.png)
标签:MITM代理, 逆向工具