Yotampe-Pluto

**Nome do Software Vulnerável e Versões Afetadas** Nginx UI versões anteriores a 2.3.8 **Descrição** O manipulador de API GetSettings no arquivo `api/settings/settings.go` serializa todas as estruturas de configurações em JSON e as retorna para usuários autenticados. Embora muitos campos sensíveis estejam marcados como protegidos, essa restrição é aplicada apenas durante operações de gravação via função `SaveSettings` e é ignorada durante operações de leitura. Isso resulta na exposição de mais de 40 campos protegidos, incluindo `JwtSecret`, que permite a falsificação de tokens de autenticação; `NodeSecret`, que permite a personificação de nós do cluster; `OIDC ClientSecret`, que permite a invasão de contas OAuth; e a configuração de lista branca de IP. **Recomendações** Atualizar para a versão 2.3.8.

**Nome do Software Vulnerável e Versões Afetadas** Nginx UI versões anteriores a 2.3.6 **Descrição** Existe uma falha de bypass de autenticação na integração do Model Context Protocol (MCP) do Nginx UI. O software expõe dois endpoints HTTP: '/mcp' e '/mcp message'. Enquanto o '/mcp' requer tanto a lista branca de IP quanto a autenticação através do middleware `AuthRequired()`, o endpoint '/mcp message' aplica apenas a lista branca de IP. Como a lista branca de IP padrão está vazia, o middleware a interpreta como "permitir todos", permitindo que qualquer invasor de rede invoque ferramentas MCP sem autenticação. Além disso, o endpoint '/api/mcp/invoke' não verifica tokens de sessão. Esta falha permite que invasores remotos assumam o controle total do serviço Nginx, realizando ações como reiniciar o Nginx, criar, modificar ou excluir arquivos de configuração e disparar recarregamentos automáticos de configuração. Aproximadamente 2.689 instâncias expostas foram identificadas em todo o mundo, com exploração ativa confirmada. **Recomendações** Atualize para a versão 2.3.6 do Nginx UI imediatamente. Como medida paliativa temporária, desative completamente o serviço Nginx UI ou bloqueie o acesso à porta de gerenciamento no firewall de rede.

**Name of the Vulnerable Software and Affected Versions** ha-mcp versions prior to 7.0.0 **Description** ha-mcp is a Home Assistant MCP Server. Prior to version 7.0.0, the OAuth consent form renders user-controlled parameters using Python f-strings without proper HTML escaping. This allows an attacker who can reach the OAuth endpoint and convince the server operator to follow a crafted authorization URL to execute JavaScript in the operator's browser. This issue only affects users running the beta OAuth mode (`ha-mcp-oauth`), which requires explicit configuration and is not part of the standard setup. The vulnerability resides in the rendering of parameters like `client name`, `client id`, `redirect uri`, `state`, `error message`, `error`, and `error description` within the `consent form.py` file. An attacker can register a malicious client via the `/register` endpoint and then exploit the lack of HTML escaping to execute a JavaScript payload when the server operator visits a crafted authorization URL. The attack requires convincing the server operator to authorize an unfamiliar application. Successful exploitation could lead to the exfiltration of data entered into the consent form, including the Home Assistant Long-Lived Access Token. **Recommendations** Upgrade to version 7.0.0.

**Name of the Vulnerable Software and Affected Versions** ha-mcp versions prior to 7.0.0 **Description** ha-mcp is a Home Assistant MCP Server. The ha-mcp OAuth consent form (beta feature) accepts a user-supplied `ha url` and makes a server-side HTTP request to `{ha url}/api/config` without URL validation. An unauthenticated attacker can submit arbitrary URLs to perform internal network reconnaissance via an error oracle. Two additional code paths in OAuth tool calls (REST and WebSocket) are affected by the same issue. The primary deployment method (private URL with pre-configured `HOMEASSISTANT TOKEN`) is not affected. The issue allows an attacker to map reachable hosts and open ports from the server's network position. The vulnerability is present in the consent form validation, REST tool calls with forged tokens, and WebSocket tool calls with forged tokens. The REST tool calls make HTTP requests to hardcoded HA API paths on the provided host. The WebSocket tool calls attempt to establish WebSocket connections to `{ha url}/api/websocket`. **Recommendations** Upgrade to version 7.0.0.

**Name of the Vulnerable Software and Affected Versions** mcp-memory-service versions prior to 10.25.1 **Description** mcp-memory-service is an open-source memory backend for multi-agent systems. When the HTTP server is enabled (`MCP HTTP ENABLED=true`), the application configures FastAPI's CORSMiddleware with `allow origins=['*']`, `allow credentials=True`, `allow methods=["*"]`, and `allow headers=["*"]`. The wildcard `Access-Control-Allow-Origin: *` header permits any website to read API responses cross-origin. When combined with anonymous access (`MCP ALLOW ANONYMOUS ACCESS=true`), any malicious website can silently read, modify, and delete all stored memories. The vulnerability is compounded by factors such as binding to all interfaces (`HTTP HOST = '0.0.0.0'`), lack of TLS (`HTTPS ENABLED = 'false'`), and the use of an API key via a query parameter which is cached in browser history and server logs. The issue allows complete cross-origin memory access, memory tampering, and silent exfiltration of data. The attack works by a malicious webpage sending a `fetch` request to the API endpoint without any credentials, and the server responding with the `Access-Control-Allow-Origin: *` header, allowing the browser to expose the response to the attacker's JavaScript. **Recommendations** Versions prior to 10.25.1: Replace the wildcard default for `MCP CORS ORIGINS` with an explicit localhost origin. For example, set `CORS ORIGINS = 'http://localhost:8000,http://127.0.0.1:8000'`. Also, set `allow credentials=False` unless specific origins are configured.

**Nome do Software Vulnerável e Versões Afetadas** Versões do mcp-memory-service anteriores à 10.21.0 **Descrição** O endpoint `/api/health/detailed` no mcp-memory-service expõe informações sensíveis do sistema, incluindo versão do SO, versão do Python, contagem de CPU, detalhes de memória, uso de disco e o caminho completo do sistema de arquivos do banco de dados. Esta exposição ocorre quando `MCP ALLOW ANONYMOUS ACCESS` está habilitado, o que é necessário para a funcionalidade do servidor HTTP sem autenticação. Combinado com a vinculação padrão `0.0.0.0`, isso permite acesso não autenticado a essas informações a partir de toda a rede. Os dados expostos podem ser usados para fingerprinting de SO, divulgação de caminhos, enumeração de recursos e reconhecimento, potencialmente permitindo ataques direcionados. O código vulnerável reside em `health.py`, linhas 90-101 para coleta de informações do sistema e linhas 131-132 para divulgação do caminho do banco de dados. O bypass de autenticação ocorre porque a função `require read access` chama `get current user`, que concede acesso quando `MCP ALLOW ANONYMOUS ACCESS` é verdadeiro. Os campos expostos incluem `platform`, `platform version`, `python version`, `cpu count`, `memory total gb`, `database path` e `database size mb`. Um atacante pode varrer a rede, acessar o endpoint `/api/health/detailed` sem credenciais e usar as informações coletadas para visar vulnerabilidades conhecidas ou criar um perfil do sistema para ataques posteriores. **Recomendações** Versões anteriores à 10.21.0 devem implementar o seguinte: Remover detalhes do sistema do endpoint de health padrão, retornando apenas `status`, `version` e `uptime`. Não expor o `database path` para prevenir a divulgação da estrutura do sistema de arquivos. Adicionar autenticação ao endpoint básico `/health` ou limitá-lo apenas a informações de status. Vincular o serviço a `127.0.0.1` por padrão para prevenir reconhecimento baseado em rede.

**Nome do Software Vulnerável e Versões Afetadas** mcp-atlassian (versões afetadas não especificadas) **Descrição** O software contém uma falha crítica de execução remota de código (RCE) não autenticada e falsificação de solicitação do lado do servidor (SSRF). A RCE é resultado de uma gravação arbitrária de arquivos, levando à execução arbitrária de código através de um `download path` sem restrições na função `confluence download attachment`. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do MCP Atlassian anteriores à 0.17.0 **Descrição** O MCP Atlassian é um servidor Model Context Protocol (MCP) utilizado com produtos Atlassian, como Confluence e Jira. Em versões anteriores à 0.17.0, um atacante não autenticado que acesse o endpoint HTTP mcp-atlassian pode fazer o servidor enviar requisições HTTP para uma URL controlada pelo atacante, fornecendo cabeçalhos HTTP específicos sem um cabeçalho `Authorization`. Isso ocorre na camada de middleware HTTP e de injeção de dependência. Em ambientes de nuvem, isso pode levar ao roubo de credenciais de função IAM através do endpoint de metadados da instância (`169[.]254[.]169[.]254`). Em qualquer implantação HTTP, permite o reconhecimento da rede interna e a injeção de conteúdo controlado pelo atacante nos resultados de ferramentas de LLM. O problema está relacionado à ausência de verificações de autenticação obrigatórias para requisições HTTP específicas. **Recomendações** Versões anteriores à 0.17.0 devem ser atualizadas para a versão 0.17.0 ou posterior.