CVE-2026-49357
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w Line Desktop MCP umożliwia nieautoryzowanym klientom sieciowym dostęp do funkcji aplikacji LINE Desktop na Windows i Mac. W trybie `--http-mode` serwer nie wymaga uwierzytelnienia, co pozwala na inicjowanie sesji i dostęp do historii czatów oraz wysyłanie wiadomości.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do danych użytkowników oraz możliwość wysyłania wiadomości w imieniu użytkowników, co może prowadzić do naruszenia prywatności i bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 1.1.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do portu serwera tylko dla zaufanych klientów.
Oryginalny opis (angielski, źródło NVD)
Line Desktop MCP is a project that, while unaffiliated with the official line-bot-mcp-server, allows users to directly operate the LINE Desktop application on Windows or Mac via MCP. `line-desktop-mcp` supports a `--http-mode` Streamable HTTP transport for use with clients such as n8n. In this mode the server binds to `0.0.0.0` and exposes the MCP `/mcp` endpoint without an MCP-layer authentication check. Prior to version 1.1.2, any network client that can reach the port can initialize a session, list tools, and call tools that read LINE Desktop chat history or send LINE messages through the already logged-in desktop application. Version 1.1.2 fixes the issue.

