Die Schwachstelle betrifft MCP Atlassian, einen Model-Context-Protocol-Server zur Anbindung der Atlassian-Produkte Confluence und Jira. Betroffen ist das Werkzeug zum Herunterladen von Confluence-Anhängen: Es übernimmt einen vom Aufrufer angegebenen Zielpfad und schreibt die Datei dorthin, ohne zu prüfen, ob der Pfad innerhalb eines erlaubten Verzeichnisses bleibt. Ein Angreifer, der dieses Werkzeug aufrufen und einen Confluence-Anhang mit schädlichem Inhalt bereitstellen kann, bestimmt damit sowohl das Ziel als auch den Inhalt des Schreibvorgangs. Auf diese Weise lässt sich beliebiger Inhalt an jeden Ort schreiben, auf den der Serverprozess Schreibrechte hat. Da der Angreifer beides kontrolliert, führt der Defekt zur Ausführung beliebigen Codes: Wird etwa ein gültiger Eintrag für den Systemplaner abgelegt, wird der hinterlegte Code im nächsten Planungszyklus ausgeführt – ohne Neustart des Servers. Betroffen sind Umgebungen, in denen dieser MCP-Server eingesetzt wird.