CVE-2026-42073
ŚrednieCVSS 6.5Streszczenie
OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.
Ocena ryzyka
Atakujący może zdalnie zamknąć serwer bez znajomości wartości stanu, co może prowadzić do przerwania działania usługi i potencjalnych problemów z bezpieczeństwem. Organizacje mogą być narażone na ataki CSRF.
Rekomendacja
Zaleca się aktualizację OpenClaude do wersji 0.5.1 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych środków zabezpieczających przed atakami CSRF.
Oryginalny opis (angielski, źródło NVD)
OpenClaude is an open-source coding-agent command line interface for cloud and local model providers. Prior to version 0.5.1, the OpenClaude MCP authentication flow starts a temporary local HTTP server to handle OAuth callbacks. To prevent CSRF attacks, the server validates a state parameter against an internally stored value. However, due to a logic flaw in the order of conditionals, an attacker can completely bypass this check and force the server to shut down — without knowing the state value at all. This issue has been patched in version 0.5.1.

