CVE-2026-44895
KrytyczneCVSS 9.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
Serwer GitLab MCP pozwala agentowi AI na bezpośrednią komunikację z GitLabem. W wersjach przed 0.6.0 transport HTTP nie zawierał warstwy uwierzytelniającej oraz miał wildcard Access-Control-Allow-Origin: * w każdej odpowiedzi, co stwarzało poważne luki w zabezpieczeniach.
Ocena ryzyka
Brak uwierzytelnienia oraz otwarty dostęp do punktu końcowego RPC umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych danych, co może prowadzić do nadużyć i wycieku informacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.6.0 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów uwierzytelniania dla transportu HTTP.
Oryginalny opis (angielski, źródło NVD)
GitLab MCP Server lets an AI agent talk directly to GitLab. Prior to 0.6.0, the HTTP transport in src/transport.ts ships with no authentication layer at all and a wildcard Access-Control-Allow-Origin: * on every response. The structural defect is that the SSE server stands up a stateful, mutation-capable RPC endpoint that is backed by the operator's GITLAB_PERSONAL_ACCESS_TOKEN without any inbound credential check, then advertises itself to every cross-origin browser context via the wildcard CORS header. The httpServer.listen(port) call at line 97 also passes no host argument, so the bind defaults to 0.0.0.0 and exposes the auth-less surface on every interface. This vulnerability is fixed in 0.6.0.

