PT-2026-53194 · Cherryhq · Cherry-Studio
Dem0000
·
Publicado
2026-06-29
·
Atualizado
2026-06-29
·
CVE-2026-13524
CVSS v3.1
5.6
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
CherryHQ cherry-studio versões anteriores a 1.9.7
Description
Existe uma autorização inadequada no componente MCP OAuth Local Callback Server, no arquivo
src/main/services/mcp/oauth/callback.ts. Um invasor remoto pode manipular o argumento code para contornar a autorização. Este ataque é caracterizado por alta complexidade e dificuldade de exploração.Recommendations
Atualize para uma versão posterior à 1.9.6.
Como medida de mitigação temporária, restrinja o acesso ao componente MCP OAuth Local Callback Server.
Exploit
Correção
Incorrect Privilege Assignment
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cherry-Studio