Vulnerabilidad en mcp-package-docs (CVE-2025-54073)

mcp-package-docs es un servidor MCP (Model Context Protocol) que proporciona a los LLM acceso eficiente a la documentación de paquetes en múltiples lenguajes de programación y capacidades de protocolo de servidor de lenguaje (LSP). Existe una vulnerabilidad de inyección de comandos en el servidor MCP `mcp-package-docs` antes de la corrección en el commit cb4ad49615275379fd6f2f1cf1ec4731eec56eb9. La vulnerabilidad se debe al uso no autorizado de parámetros de entrada en una llamada a `child_process.exec`, lo que permite a un atacante inyectar comandos arbitrarios del sistema. Una explotación exitosa puede provocar la ejecución remota de código bajo los privilegios del proceso del servidor. El servidor construye y ejecuta comandos de shell utilizando entradas de usuario no validadas directamente dentro de las cadenas de la línea de comandos. Esto introduce la posibilidad de inyección de metacaracteres de shell (`|`, `>`, `&&`, etc.). El commit cb4ad49615275379fd6f2f1cf1ec4731eec56eb9 en la versión 0.1.27 contiene una solución para el problema, pero se recomienda actualizar a la versión 0.1.28.