B
今週中
Code Runner MCP Serverにおいて、認証なしでリモートコード実行(RCE)が可能な脆弱性(CVE-2026-5029)
📌 一言でいうと
Code Runner MCP Serverにおいて、認証なしでリモートコード実行(RCE)が可能な脆弱性(CVE-2026-5029)が報告されました。`--transport http`オプションで起動した場合、ポート3088のJSON-RPCエンドポイントを通じて任意のコードを実行される恐れがあります。この脆弱性は現時点で修正されておらず、すべてのバージョンが影響を受けます。
🔍該当判定
- 「Code Runner MCP Server」というソフトウェアをインストールして利用している
- Code Runner MCP Serverを起動する際、オプションに「--transport http」を指定している
- サーバーのポート番号「3088」を外部(インターネットや社内LAN)からアクセス可能な状態で公開している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
修正パッチが提供されるまで、`--transport http`オプションの使用を避けるか、ネットワークレベルでポート3088へのアクセスを厳格に制限してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Code Runner MCP Server CVE-2026-5029 対応について
お疲れさまです。Code Runner MCP Serverの脆弱性に関する情報共有です。
■ 概要
Code Runner MCP Serverにおいて、認証なしでリモートコード実行(RCE)が可能な脆弱性が発見されました。`--transport http`オプションを使用している場合、ポート3088のJSON-RPCエンドポイントを通じて、攻撃者が任意のコードをサーバー権限で実行できる可能性があります。
■ 影響範囲
- 対象製品: Code Runner MCP Server
- 対象バージョン: すべてのバージョン
■ 対応手順
1. 現在、公式の修正パッチは提供されていません。
2. `--transport http` オプションの使用を停止することを検討してください。
3. 運用が不可欠な場合は、ファイアウォール等でポート3088への外部アクセスを遮断し、信頼できるIPのみに制限してください。
■ 参考情報
- CERT Polska アドバイザリ
対応優先度: 高
対応期限: 直ちに確認
お疲れさまです。Code Runner MCP Serverの脆弱性に関する情報共有です。
■ 概要
Code Runner MCP Serverにおいて、認証なしでリモートコード実行(RCE)が可能な脆弱性が発見されました。`--transport http`オプションを使用している場合、ポート3088のJSON-RPCエンドポイントを通じて、攻撃者が任意のコードをサーバー権限で実行できる可能性があります。
■ 影響範囲
- 対象製品: Code Runner MCP Server
- 対象バージョン: すべてのバージョン
■ 対応手順
1. 現在、公式の修正パッチは提供されていません。
2. `--transport http` オプションの使用を停止することを検討してください。
3. 運用が不可欠な場合は、ファイアウォール等でポート3088への外部アクセスを遮断し、信頼できるIPのみに制限してください。
■ 参考情報
- CERT Polska アドバイザリ
対応優先度: 高
対応期限: 直ちに確認
Subject: [Security Advisory] Code Runner MCP Server CVE-2026-5029
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Code Runner MCP Server.
■ Overview
A vulnerability (CVE-2026-5029) allows unauthenticated Remote Code Execution (RCE). When the server is started with the `--transport http` option, the JSON-RPC endpoint on port 3088 is exposed without authentication, enabling attackers to execute arbitrary code via the `run-code` tool.
■ Scope
- Product: Code Runner MCP Server
- Versions: All versions
■ Mitigation Steps
1. As no official patch is currently available, avoid using the `--transport http` option.
2. If HTTP transport is required, strictly restrict access to port 3088 using network firewalls or ACLs to trusted sources only.
■ Reference
- CERT Polska Advisory
Priority: High
Deadline: Immediate action required
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Code Runner MCP Server.
■ Overview
A vulnerability (CVE-2026-5029) allows unauthenticated Remote Code Execution (RCE). When the server is started with the `--transport http` option, the JSON-RPC endpoint on port 3088 is exposed without authentication, enabling attackers to execute arbitrary code via the `run-code` tool.
■ Scope
- Product: Code Runner MCP Server
- Versions: All versions
■ Mitigation Steps
1. As no official patch is currently available, avoid using the `--transport http` option.
2. If HTTP transport is required, strictly restrict access to port 3088 using network firewalls or ACLs to trusted sources only.
■ Reference
- CERT Polska Advisory
Priority: High
Deadline: Immediate action required