CVE-2025-59163

Nome do Software Vulnerável e Versões Afetadas Versões do vet anteriores a 1.12.5

Descrição O software é suscetível a um ataque de DNS rebinding devido à falta de validação dos cabeçalhos HTTP Host e Origin. Quando usado como um servidor MCP no modo SSE com portas padrão, o banco de dados sqlite3 contendo dados de varredura pode ser exposto a atacantes remotos. Um atacante pode aproveitar o DNS rebinding para acessar o servidor SSE do vet em 127.0.0.1 através de um site e usar ferramentas MCP para ler informações do banco de dados de relatórios. O componente vulnerável é o servidor SSE. O endpoint da API usado para exploração não é especificado. Os parâmetros vulneráveis são os cabeçalhos Host e Origin.

Recomendações Atualize para a versão 1.12.5 ou posterior. Use o transporte stdio para o servidor SSE.