Katalog CVE

CVE-2026-11717

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

Występuje luka w autoryzacji w narzędziu googleapis/mcp-toolbox, która pozwala na obejście uwierzytelnienia. Problem dotyczy walidacji tokenów opakowanych, gdzie brak klucza 'active' w odpowiedzi z punktu introspekcji OAuth 2.0 skutkuje akceptacją tokenów, które nie powinny być uznawane za ważne.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do chronionych narzędzi i danych, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację narzędzia googleapis/mcp-toolbox do najnowszej wersji, która poprawia walidację tokenów, oraz monitorowanie dostępu do chronionych zasobów.

Oryginalny opis (angielski, źródło NVD)

An authentication bypass vulnerability exists in the generic opaque token validation path (validateOpaqueToken) of googleapis/mcp-toolbox. When verifying an unparsed opaque token via an OAuth 2.0 introspection endpoint (RFC 7662), the toolbox decodes the response into an introspectResp struct where the Active field is declared as a pointer to a boolean (*bool). The code only explicitly rejects a token if the response contains a populated active field set to false (if introspectResp.Active != nil && !*introspectResp.Active). If an introspection endpoint responds with a payload that completely omits the mandatory active key, the internal variable remains nil, causing the conditional check to short-circuit. As a result, Toolbox accepts authorization tokens missing the "active" field, granting access to protected tools and underlying data sources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS