SrGinebras/CVE-2026-23744-RCE-for-MCPjam-inspector-v1.4.2
GitHub: SrGinebras/CVE-2026-23744-RCE-for-MCPjam-inspector-v1.4.2
针对MCPJam Inspector <= 1.4.2的CVE-2026-23744远程代码执行漏洞的利用工具。
Stars: 1 | Forks: 0
# CVE-2026-23744-RCE-for-MCPjam-inspector-v1.4.2
MCPJam Inspector <= 1.4.2 存在一个严重的远程代码执行(RCE)漏洞,当/api/mcp/connect 端点默认监听所有网络接口(0.0.0.0)且未能正确清理传递给 serverConfig JSON 对象中 command 和 args 参数的用户输入时,就可能发生此漏洞。
攻击者可以通过向 /api/mcp/connect 发送精心制作的 POST 请求来利用此漏洞,在目标系统上以 MCPJam 服务的权限执行任意命令。
# 使用方法
1. 安装依赖
```
pip install request
```
2. 使用 nc 启动监听
```
sudo nc -lvnp
```
3. 启动漏洞利用
```
python3 CVE-2026-23744.py -u -i -p
```
4. 为了更好地使用,我推荐将终端更新到一个完全功能性的版本,否则您将无法使用如 ctrl^c 这样的命令
**示例**
# 仅在受控环境中使用此漏洞利用
# ⚠️自行承担风险⚠️
# 仅在受控环境中使用此漏洞利用
# ⚠️自行承担风险⚠️标签:威胁模拟, 逆向工具