CVE-2026-44895
CriticalCVSS 9.2Exploitation Probability (EPSS)
Low risk31th percentile — higher than 31% of all known CVEs
Summary
Serwer GitLab MCP pozwala agentowi AI na bezpośrednią komunikację z GitLabem. W wersjach przed 0.6.0 transport HTTP nie zawierał warstwy uwierzytelniającej oraz miał wildcard Access-Control-Allow-Origin: * w każdej odpowiedzi, co stwarzało poważne luki w zabezpieczeniach.
Risk Assessment
Brak uwierzytelnienia oraz otwarty dostęp do punktu końcowego RPC umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych danych, co może prowadzić do nadużyć i wycieku informacji.
Recommendation
Zaleca się aktualizację do wersji 0.6.0 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów uwierzytelniania dla transportu HTTP.
Original NVD description (English source)
GitLab MCP Server lets an AI agent talk directly to GitLab. Prior to 0.6.0, the HTTP transport in src/transport.ts ships with no authentication layer at all and a wildcard Access-Control-Allow-Origin: * on every response. The structural defect is that the SSE server stands up a stateful, mutation-capable RPC endpoint that is backed by the operator's GITLAB_PERSONAL_ACCESS_TOKEN without any inbound credential check, then advertises itself to every cross-origin browser context via the wildcard CORS header. The httpServer.listen(port) call at line 97 also passes no host argument, so the bind defaults to 0.0.0.0 and exposes the auth-less surface on every interface. This vulnerability is fixed in 0.6.0.

