CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45609

HighCVSS 7.2
Published: Updated: Translated: NVD NIST

Summary

Framework mcp-security, który wspiera bezpieczeństwo i autoryzację dla Model Context Protocol w Spring AI, przed wersją 0.1.9 nie implementował obowiązkowych zabezpieczeń przed SSRF zgodnie z specyfikacjami bezpieczeństwa MCP. Problem dotyczy przetwarzania niezweryfikowanych adresów URL związanych z OAuth, co może prowadzić do ataków.

Risk Assessment

Organizacje z włączoną Dynamic Client Registration (DCR) są narażone na ryzyko ataków, które mogą wykorzystać niezweryfikowane adresy URL, co może prowadzić do ujawnienia danych lub kompromitacji systemów.

Recommendation

Zaleca się aktualizację frameworka mcp-security do wersji 0.1.9 lub nowszej, aby zaimplementować odpowiednie zabezpieczenia przed SSRF.

Original NVD description (English source)

mcp-security provides Security and Authorization support for Model Context Protocol in Spring AI. Prior to 0.1.9, the mcp-security framework fails to implement the mandatory SSRF mitigations outlined in the Model Context Protocol (MCP) security specifications. Specifically, it processes untrusted URLs for OAuth-related discovery and metadata without verifying if the targets are malicious or internal to the network. This only affects installations with Dynamic Client Registration (DCR) enabled This vulnerability is fixed in 0.1.9.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS