Zurück zur Liste

Obot has an authorization bypass in /mcp-connect/{id} that allows any authenticated user to use any registered MCP server — GHSA-VW82-7FV8-R6GP

GitHub · GitHub · GHSA-VW82-7FV8-R6GP

ID
GHSA-VW82-7FV8-R6GP

Datum
2026-05-13

Activity
2026-05-13

Quelle
GitHub

Vendor
GitHub

Risiko
critical

CVSS
9.6

Zusammenfassung

## Summary If you have the MCP Server ID, you can connect to the MCP server even if you don't have permissions to the server. The MCP gateway endpoint `/mcp-connect/{mcp_id}` does not enforce Access Control Rules (ACRs). Any authenticated Obot user who possesses an MCP Server ID can connect to that server through the gateway — including making tool calls — regardless of whether they are a member of any MCP Registry…

Produkt

go: github.com/obot-platform/obot

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Zur offiziellen Quelle

Mehr dazu

GitHub GitHub 2026-W20

Assisted Installer RHEL 8 components for Multicluster Engine for Kubernetes 2.6.11

2026-05-14 RHSA-2026:17459

highRed Hat Red Hat 2026-W20

Assisted Installer RHEL 9 components for Multicluster Engine for Kubernetes 2.6.11

2026-05-14 RHSA-2026:17458

highRed Hat Red Hat 2026-W20

Authlib: Cross-site request forging when using cache

2026-05-14 CVE-2026-41425

mediumGitHub GitHub 2026-W20

AutoMapper Vulnerable to Denial of Service (DoS) via Uncontrolled Recursion

2026-05-14 CVE-2026-32933

highGitHub GitHub 2026-W20

Important: firefox security update

2026-05-14 RHSA-2026:17477

highRed Hat Red Hat 2026-W20

Important: gimp:2.8 security update

2026-05-14 RHSA-2026:17533

highRed Hat Red Hat 2026-W20