CVE-2025-47274

Nome do Software Vulnerável e Versões Afetadas Versões do ToolHive anteriores a 0.0.33

Descrição O problema surge da ordem do código utilizado para iniciar um contêiner do servidor Model Context Protocol (MCP) no ToolHive, armazenando inadvertidamente segredos em arquivos de configuração de execução (run configs). Isso permite que um atacante com acesso à pasta home do usuário leia segredos sem precisar de acesso ao próprio armazenamento de segredos. O problema aplica-se apenas a segredos utilizados em contêineres com configurações de execução existentes.

Recomendações Para versões anteriores a 0.0.33, interrompa e exclua quaisquer servidores MCP em execução. Para versões anteriores a 0.0.33, remova manualmente quaisquer runconfigs de $HOME/Library/Application Support/toolhive/runconfigs/ (macOS) ou $HOME/.state/toolhive/runconfigs/ (Linux). Atualize para a versão 0.0.33 para corrigir o problema.