1  info:
 2    name: blinko
 3    cve: CVE-2026-23882
 4    summary: Blinko MCP Server 任意命令执行漏洞（未验证命令参数）
 5    details: >-
 6      AI 卡片笔记应用 Blinko 在 1.8.4 版本之前，其 MCP（模型上下文协议）服务器创建功能
 7      存在远程代码执行漏洞。该功能允许用户在创建 MCP 服务器时指定任意命令及其参数，
 8      当触发连接测试时，这些命令将在服务端被直接执行，缺乏充分的输入验证和沙箱隔离。
 9      拥有 MCP 服务器配置权限的已认证攻击者可利用此漏洞在服务器上执行任意操作系统命令，
10      导致敏感数据泄露、权限提升或服务器完全失陷。
11    cvss: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
12    severity: HIGH
13    security_advise: 升级 Blinko 至 1.8.4 或更高版本，该版本修复了 MCP 服务器创建函数中的任意命令执行问题。
14    references:
15      - https://github.com/blinkospace/blinko/security/advisories
16      - https://nvd.nist.gov/vuln/detail/CVE-2026-23882
17  rule: version < "1.8.4"
18  references:
19    - https://nvd.nist.gov/vuln/detail/CVE-2026-23882