MCP Registry: OCI validator skips ownership check on upstream rate limits — CVE-2026-45781
GitHub · GitHub · CVE-2026-45781
ID
CVE-2026-45781
CVE-2026-45781
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
low
low
CVSS
3.5
3.5
EPSS
0.00029
0.00029
Résumé
# OCI ownership validation fails open on upstream rate limits, allowing attacker to claim arbitrary public OCI images under their own namespace Severity: Low (re-scored post-triage; see Maintainer triage note below) Affected: `modelcontextprotocol/registry` main branch at commit `fe0cb3b` (current HEAD as of 2026-05-09). Live deployment: `https://registry.modelcontextprotocol.io` (per repo README). Route: GitHub…
Produit
go: github.com/modelcontextprotocol/registry
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.