CVE-2026-50287
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
AgenticMail przed wersją 0.9.27 udostępniał transport HTTP bez warstwy uwierzytelniania, co pozwalało na bezpośrednie wywoływanie narzędzi przez zdalnego klienta. Problem ten został naprawiony w wersji 0.9.27.
Ocena ryzyka
Brak uwierzytelnienia na końcówce /mcp stwarza ryzyko nieautoryzowanego dostępu do funkcji aplikacji, co może prowadzić do wycieku danych lub nieautoryzowanego działania.
Rekomendacja
Zaleca się aktualizację do wersji 0.9.27 lub nowszej, aby zabezpieczyć aplikację przed tym zagrożeniem.
Oryginalny opis (angielski, źródło NVD)
AgenticMail gives AI agents real email addresses and phone numbers. Prior to version 0.9.27, @agenticmail/mcp exposes a Streamable HTTP transport when started with --http or MCP_HTTP=1. In that mode, the /mcp endpoint accepts requests without any HTTP authentication layer. A remote client can initialize a session and call tools directly. This issue has been patched in version 0.9.27.

