anonhaven

CVE-2025-69196

HIGH CVSS 4.0: 7,4 EPSS 0.01%
Обновлено 18 марта 2026
Fastmcp
Параметр Значение
CVSS 7,4 (HIGH)
Уязвимые версии до 2.14.2
Устранено в версии 2.14.2
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик Fastmcp
Публичный эксплойт Нет

FastMCP is the standard framework for building MCP applications. До версии 2.14.2 сервер не учитывал должным образом параметр ресурса, отправленный клиентом в запросе авторизации и токена. Instead of issuing the token explicitly for the MCP server, the token is issued for the base_url passed to the OAuthProxy during initialization.

Эта проблема исправлена ​​в версии 2.14.2.

Показать оригинальное описание (EN)

FastMCP is the standard framework for building MCP applications. Prior to version 2.14.2, the server does not properly respect the resource parameter submitted by the client in the authorization and token request. Instead of issuing the token explicitly for the MCP server, the token is issued for the base_url passed to the OAuthProxy during initialization. This issue has been patched 2.14.2.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Jlowin Fastmcp
cpe:2.3:a:jlowin:fastmcp:*:*:*:*:*:*:*:*
 2.14.2

Ссылки 1

https://github.com/PrefectHQ/fastmcp/security/advisories/GHSA-5h2m-4q8j-pqpj
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-32871

Fastmcp

10,0