Nhost — это альтернатива Firebase с открытым исходным кодом и GraphQL. До версии 1.41.0 сервер Nhost CLI MCP, если он явно настроен на прослушивание сетевого порта, не применяет входящую аутентификацию и не применяет строгий CORS. Это позволяет вредоносному веб-сайту, посещенному на том же компьютере, отправлять запросы к серверу MCP из разных источников и вызывать привилегированные инструменты, используя локально настроенные учетные данные разработчика.
Для использования этой уязвимости требуется два явных, нестандартных шага настройки. Стартовая конфигурация nhost mcp по умолчанию не затрагивается. Эта проблема исправлена в версии 1.41.0.
Показать оригинальное описание (EN)
Nhost is an open source Firebase alternative with GraphQL. Prior to version 1.41.0, The Nhost CLI MCP server, when explicitly configured to listen on a network port, applies no inbound authentication and does not enforce strict CORS. This allows a malicious website visited on the same machine to issue cross-origin requests to the MCP server and invoke privileged tools using the developer's locally configured credentials. This vulnerability requires two explicit, non-default configuration steps to be exploitable. The default nhost mcp start configuration is not affected. This issue has been patched in version 1.41.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nhost Cli
cpe:2.3:a:nhost:cli:*:*:*:*:*:*:*:*
|
— |
1.41.0
|