Klaster Injeksi Argumen Lumiverse MCP Server — Tiga CVE Kritis Memungkinkan RCE via Binari Allowlist, TSX Sandbox Escape, dan Extension Supply Chain (CVSS 9.1–9.9)

Tiga kerentanan kritis dipublikasikan pada 26 Mei untuk Lumiverse, aplikasi chat AI dengan dukungan server MCP, semuanya diperbaiki dalam versi 0.9.7. CVE-2026-44450 (CVSS 9.9): endpoint pembuatan server MCP memvalidasi bidang command terhadap allowlist nama binari tetapi meneruskan array args ke proses child tanpa validasi — setiap binari allowlist yang menerima kode inline (misalnya node -e, python -c) dapat digunakan untuk mencapai eksekusi kode arbitrer. CVE-2026-44451 (CVSS 9.3): sistem override komponen mentranspile TSX yang disuplai pengguna melalui Sucrase dan mengevaluasinya dengan new Function() hanya dengan global shadowing dangkal — sandbox escape menggunakan __proto__ atau jalur eval tidak langsung mencapai eksekusi kode penuh. CVE-2026-44444 (CVSS 9.1): pipeline build ekstensi Spindle menjalankan bun install tanpa --ignore-scripts sebelum pemindaian keamanan, memungkinkan hook preinstall/postinstall ekstensi berbahaya menjalankan kode arbitrer sebelum pemindaian apa pun.

CVE-2026-44450: penyerang membuat server MCP yang menentukan binari allowlist (node, python) dengan arg eksekusi kode — tidak diperlukan hak istimewa tambahan. CVE-2026-44451: penyerang memasok TSX berbahaya sebagai override komponen — sandbox escape melalui prototype pollution atau eval tidak langsung. CVE-2026-44444: penyerang memasok paket ekstensi berbahaya dengan skrip siklus hidup npm — dijalankan sebelum pemindaian keamanan berjalan.

Versi Lumiverse sebelum 0.9.7. Aplikasi chat AI menggunakan fitur pembuatan server MCP atau override ekstensi/komponen Lumiverse.

Tingkatkan ke Lumiverse 0.9.7 segera. Sebagai pola defence-in-depth yang dapat diterapkan di luar Lumiverse: (1) validasi dan allowlist baik command MAUPUN args untuk panggilan subprocess MCP — allowlist binari saja tidak cukup; (2) gunakan --ignore-scripts pada semua instalasi dependensi dalam pipeline ekstensi AI; (3) perlakukan kode komponen yang disuplai pengguna sebagai tidak terpercaya bahkan ketika ditranspile dalam sandbox.