Katalog CVE

CVE-2026-45609

WysokieCVSS 7.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Framework mcp-security, który wspiera bezpieczeństwo i autoryzację dla Model Context Protocol w Spring AI, przed wersją 0.1.9 nie implementował obowiązkowych zabezpieczeń przed SSRF zgodnie z specyfikacjami bezpieczeństwa MCP. Problem dotyczy przetwarzania niezweryfikowanych adresów URL związanych z OAuth, co może prowadzić do ataków.

Ocena ryzyka

Organizacje z włączoną Dynamic Client Registration (DCR) są narażone na ryzyko ataków, które mogą wykorzystać niezweryfikowane adresy URL, co może prowadzić do ujawnienia danych lub kompromitacji systemów.

Rekomendacja

Zaleca się aktualizację frameworka mcp-security do wersji 0.1.9 lub nowszej, aby zaimplementować odpowiednie zabezpieczenia przed SSRF.

Oryginalny opis (angielski, źródło NVD)

mcp-security provides Security and Authorization support for Model Context Protocol in Spring AI. Prior to 0.1.9, the mcp-security framework fails to implement the mandatory SSRF mitigations outlined in the Model Context Protocol (MCP) security specifications. Specifically, it processes untrusted URLs for OAuth-related discovery and metadata without verifying if the targets are malicious or internal to the network. This only affects installations with Dynamic Client Registration (DCR) enabled This vulnerability is fixed in 0.1.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS