Josephdourden

**Nome do Software Vulnerável e Versões Afetadas** MCP Registry versões anteriores a 1.7.7 **Description** A interface do catálogo público servida no endpoint 'GET /' está sujeita a cross-site scripting (XSS) armazenado. Isso ocorre por meio do campo `server.websiteUrl` de arquivos `server.json` publicados. A função de validação no lado do servidor `validateWebsiteURL()` em `internal/validators/validators.go` não rejeita caracteres de aspas, verificando apenas se a URL é absoluta, se é analisada corretamente e se utiliza o esquema HTTPS. No lado do cliente, o valor é inserido em um atributo `href` entre aspas duplas usando `innerHTML` e um auxiliar `escapeHtml()` personalizado. Como esse auxiliar não codifica aspas duplas, um invasor pode romper o atributo e anexar manipuladores de eventos arbitrários. A Política de Segurança de Conteúdo (CSP) existente permite scripts `unsafe-inline`, possibilitando a execução desses manipuladores. Qualquer usuário capaz de obter um token de publicação via 'POST /v0/auth/github-at' ou 'POST /v0/auth/none' pode plantar um registro malicioso visível para todos os visitantes da página inicial do registro. **Recommendations** Atualize para a versão 1.7.7. Como medida paliativa temporária, restrinja o uso do parâmetro `server.websiteUrl` em arquivos `server.json` publicados para garantir que eles não contenham caracteres de aspas.