Traversal de rutas (“path traversal”) en cline-mcp-memory-bank (función handleInitializeMemoryBank, projectPath).

Fallo en la función handleInitializeMemoryBank: al manipular projectPath se consigue path traversal; el ataque puede realizarse de forma remota (red). El producto usa entrega continua; no se detallan versiones corregidas en el CVE. El mantenedor fue informado temprano vía reporte de incidencia sin respuesta aún según la descripción publicada.

Retirar o no exponer el servidor MCP a Internet ni a redes no confiables hasta exista parche.

Validar projectPath: solo rutas bajo un directorio base permitido (lista blanca, realpath/canonicalización, rechazar .. y rutas absolutas no autorizadas).

https://www.cve.org/CVERecord?id=CVE-2026-9468