z4yd3/PoC-CVE-2026-23744
GitHub: z4yd3/PoC-CVE-2026-23744
针对MCPJam Inspector 1.4.2及以下版本未授权远程代码执行漏洞的概念验证利用脚本。
Stars: 0 | Forks: 0
# PoC-CVE-2026-23744
## MCPJam Inspector <= 1.4.2 远程代码执行
CVE-2026-23744 是 MCPJam Inspector(版本 <= 1.4.2)中的一个严重漏洞,允许未经身份验证的远程代码执行 (RCE)。该缺陷的存在是因为应用程序的内部 API 服务器默认绑定到所有网络接口 (0.0.0.0),并且 ```/api/mcp/connect``` 端点缺乏授权。攻击者可以向此端点发送精心构造的 JSON payload,以运行 Inspector 的用户权限执行任意命令。
```
python3 exploit.py https://mpc.kobold.htb
```
## 参考
https://github.com/MCPJam/inspector/security/advisories/GHSA-232v-j27c-5pp6
标签:API 安全, CISA项目, CVE-2026-23744, MCPJam Inspector, PoC, Python, RCE, 命令执行, 安全漏洞, 无后门, 暴力破解, 未授权访问, 漏洞分析, 编程工具, 网络安全, 网络接口绑定, 路径探测, 远程代码执行, 逆向工具, 隐私保护