Katalog CVE

CVE-2025-69196

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

W bibliotece FastMCP przed wersją 2.14.2 serwer nieprawidłowo przetwarza parametr zasobu przesłany przez klienta w żądaniu autoryzacji i tokena. Token jest wydawany dla base_url przekazanego do OAuthProxy podczas inicjalizacji, a nie dla konkretnego serwera MCP.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do zasobów, ponieważ token może być użyty dla innego serwera niż zamierzony, co może prowadzić do naruszenia kontroli dostępu.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę FastMCP do wersji 2.14.2 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

FastMCP is the standard framework for building MCP applications. Prior to version 2.14.2, the server does not properly respect the resource parameter submitted by the client in the authorization and token request. Instead of issuing the token explicitly for the MCP server, the token is issued for the base_url passed to the OAuthProxy during initialization. This issue has been patched 2.14.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS