CVE-2026-27826

Nome do Software Vulnerável e Versões Afetadas Versões do MCP Atlassian anteriores à 0.17.0

Descrição O MCP Atlassian é um servidor Model Context Protocol (MCP) utilizado com produtos Atlassian, como Confluence e Jira. Em versões anteriores à 0.17.0, um atacante não autenticado que acesse o endpoint HTTP mcp-atlassian pode fazer o servidor enviar requisições HTTP para uma URL controlada pelo atacante, fornecendo cabeçalhos HTTP específicos sem um cabeçalho Authorization. Isso ocorre na camada de middleware HTTP e de injeção de dependência. Em ambientes de nuvem, isso pode levar ao roubo de credenciais de função IAM através do endpoint de metadados da instância (169[.]254[.]169[.]254). Em qualquer implantação HTTP, permite o reconhecimento da rede interna e a injeção de conteúdo controlado pelo atacante nos resultados de ferramentas de LLM. O problema está relacionado à ausência de verificações de autenticação obrigatórias para requisições HTTP específicas.

Recomendações Versões anteriores à 0.17.0 devem ser atualizadas para a versão 0.17.0 ou posterior.