CVE-2026-44427

Nome do Software Vulnerável e Versões Afetadas MCP Registry versões 1.1.0 até 1.7.4

Descrição O TrailingSlashMiddleware em internal/api/server.go está suscetível a um redirecionamento aberto (open redirect). Isso ocorre porque o middleware remove barras finais dos caminhos de solicitação e emite um Redirecionamento Permanente 308 para o caminho limpo sem validar ou sanitizar o caminho resultante. Um invasor pode criar uma URL usando um caminho relativo ao protocolo (ex: //evil.com/), o que resulta em um cabeçalho Location de //evil.com que os navegadores interpretam como uma URL absoluta para um domínio externo. Isso pode ser explorado para phishing, distribuição de malware e abuso da confiança do domínio oficial.

Recomendações Atualizar para a versão 1.7.5.