Katalog CVE

CVE-2026-11719

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

W MCP Toolbox for Databases występuje podatność na obejście autoryzacji z powodu braku egzekwowania zakresu w starszych obsługiwanych wersjach protokołu. Klient z niskimi uprawnieniami może uzyskać dostęp do narzędzi o wysokich uprawnieniach, wykorzystując starszą wersję protokołu.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych narzędzi administracyjnych, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji protokołu oraz wprowadzenie dodatkowych kontroli dostępu, aby zapobiec wykorzystaniu tej podatności.

Oryginalny opis (angielski, źródło NVD)

An authenticated authorization bypass vulnerability exists in MCP Toolbox for Databases due to missing scope enforcement across older protocol handlers. While the 2025-11-25 protocol version handler correctly enforces per-tool restrictions defined by scopesRequired, older supported protocol versions (2025-06-18, 2025-03-26, and 2024-11-05) omit this check. An authenticated client with low-privilege tokens (e.g., read) can bypass the intended per-tool scope restrictions and execute high-privilege tools (e.g., admin) simply by specifying an older protocol version in the MCP-Protocol-Version header, or by omitting the header entirely (which causes the server to default to the vulnerable 2024-11-05 handler).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS