CVE-2026-13524
ŚrednieCVSS 5.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 — wyżej niż 18% wszystkich znanych CVE
Streszczenie
W CherryHQ cherry-studio do wersji 1.9.6 wykryto podatność w komponencie MCP OAuth Local Callback Server. Manipulacja argumentem 'code' w pliku callback.ts prowadzi do nieprawidłowej autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do systemu przez zdalnego atakującego, co może skutkować naruszeniem poufności i integralności danych.
Rekomendacja
Zaleca się natychmiastowe zastosowanie łatki po jej udostępnieniu oraz monitorowanie repozytorium projektu w celu wdrożenia poprawki. Do czasu wydania oficjalnej łatki należy ograniczyć dostęp do komponentu MCP OAuth.
Oryginalny opis (angielski, źródło NVD)
A security vulnerability has been detected in CherryHQ cherry-studio up to 1.9.6. This vulnerability affects unknown code of the file src/main/services/mcp/oauth/callback.ts of the component MCP OAuth Local Callback Server. The manipulation of the argument code leads to improper authorization. The attack can be initiated remotely. The attack is considered to have high complexity. It is stated that the exploitability is difficult. The exploit has been disclosed publicly and may be used. The pull request to fix this issue awaits acceptance.

