MCP Salesforce Connector — это реализация сервера протокола контекста модели (MCP) для интеграции Salesforce. До версии 0.1.10 произвольный доступ к атрибуту приводил к раскрытию токена аутентификации Salesforce. Эта уязвимость исправлена в версии 0.1.10.
Показать оригинальное описание (EN)
MCP Salesforce Connector is a Model Context Protocol (MCP) server implementation for Salesforce integration. Prior to 0.1.10, arbitrary attribute access leads to disclosure of Salesforce auth token. This vulnerability is fixed in 0.1.10.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/smn2gnt/MCP-Salesforce/commit/a1e3a5a786f48508d066b6d40b5820…
security-advisories@github.com
https://github.com/smn2gnt/MCP-Salesforce/releases/tag/v0.1.10
security-advisories@github.com
https://github.com/smn2gnt/MCP-Salesforce/security/advisories/GHSA-vf6j-c56p-cq…
security-advisories@github.com