CVE-2026-48529
ŚrednieCVSS 6.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
GitHub MCP Server w wersjach od 0.22.0 do 1.1.2, działając w trybie HTTP z włączonym trybem lockdown, używa globalnego singletona RepoAccessCache inicjalizowanego danymi pierwszego uwierzytelnionego użytkownika. Wszystkie kolejne zapytania od różnych użytkowników korzystają z tego samego singletona, wykonując zapytania GraphQL związane z lockdownem przy użyciu poświadczeń pierwszego użytkownika.
Ocena ryzyka
Ryzyko polega na tym, że użytkownicy mogą uzyskać nieautoryzowany dostęp do repozytoriów lub ominąć ograniczenia lockdownu, ponieważ ich zapytania są obsługiwane z użyciem tokena innego użytkownika, co może prowadzić do naruszenia poufności i integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować GitHub MCP Server do wersji 1.1.2 lub nowszej, która usuwa tę podatność poprzez prawidłowe zarządzanie sesjami użytkowników.
Oryginalny opis (angielski, źródło NVD)
GitHub MCP Server is GitHub's official MCP Server. From 0.22.0 until 1.1.2, when running in HTTP mode with --lockdown-mode enabled, the RepoAccessCache is implemented as a process-global singleton initialized with the first authenticated user's GraphQL client. All subsequent requests from different users share this singleton and their lockdown-related GraphQL queries are executed using the first user's credentials. The singleton is never updated to reflect later users' tokens. This vulnerability is fixed in 1.1.2.

