Katalog CVE

CVE-2026-50287

WysokieCVSS 8.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

AgenticMail przed wersją 0.9.27 udostępniał transport HTTP bez warstwy uwierzytelniania, co pozwalało na bezpośrednie wywoływanie narzędzi przez zdalnego klienta. Problem ten został naprawiony w wersji 0.9.27.

Ocena ryzyka

Brak uwierzytelnienia na końcówce /mcp stwarza ryzyko nieautoryzowanego dostępu do funkcji aplikacji, co może prowadzić do wycieku danych lub nieautoryzowanego działania.

Rekomendacja

Zaleca się aktualizację do wersji 0.9.27 lub nowszej, aby zabezpieczyć aplikację przed tym zagrożeniem.

Oryginalny opis (angielski, źródło NVD)

AgenticMail gives AI agents real email addresses and phone numbers. Prior to version 0.9.27, @agenticmail/mcp exposes a Streamable HTTP transport when started with --http or MCP_HTTP=1. In that mode, the /mcp endpoint accepts requests without any HTTP authentication layer. A remote client can initialize a session and call tools directly. This issue has been patched in version 0.9.27.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS