Katalog CVE

CVE-2026-48989

WysokieCVSS 8.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

W wersjach przed 0.7.5 projektu Windows-MCP, pewne tryby HTTP ujawniały kontrolny interfejs MCP bez uwierzytelnienia, umożliwiając jednocześnie wildcard CORS. To pozwalało atakującym na zdalne wykonanie poleceń PowerShell jako użytkownik Windows.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane wykonanie poleceń PowerShell, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji 0.7.5 lub nowszej, aby zabezpieczyć kontrolny interfejs MCP oraz ograniczyć dostęp do zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

Windows-MCP is an open-source project that integrates AI agents with Windows. In versions prior to 0.7.5, certain HTTP modes exposed the MCP control plane without authentication while enabling wildcard CORS (allow_origins=*, allow_methods=*, allow_headers=*). Because the same server also exposed a PowerShell tool that executes caller-controlled commands as the Windows user running Windows-MCP, attackers could reach the control plane from arbitrary origins or non-browser clients and achieve arbitrary PowerShell execution. This issue was fixed in version 0.7.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS