PT-2026-53995 · Unknown · Presentmon

George Chen

·

Publicado

2026-06-30

·

Atualizado

2026-06-30

·

CVE-2026-58446

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas Presenton versões anteriores a 0.8.8-beta
Description Em implantações de servidor ou Docker que utilizam autenticação de sessão via AUTH USERNAME e AUTH PASSWORD, o servidor MCP integrado está acessível sem autenticação no endpoint '/mcp'. Isso ocorre porque o front-end nginx não aplica o gate auth request a esse caminho específico, e o servidor MCP gera automaticamente um token de sessão interno válido para o usuário configurado. Um invasor remoto não autenticado pode explorar isso para invocar ferramentas MCP, como generate presentation(), permitindo a execução de ações autenticadas, o consumo de chaves de API de LLM configuradas pelo operador e a criação de apresentações na instância.
Recommendations Atualize para a versão 0.8.8-beta ou posterior.

Exploit

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58446

Produtos afetados

Presentmon