PT-2026-60101 · Unknown · Netlicensing-Mcp
CVE-2026-54446
·
Publicado
2026-07-14
·
Atualizado
2026-07-15
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
netlicensing-mcp versão 0.1.5
Description
Ao ser executado no modo de transporte HTTP, o software falha ao impor a autenticação no
ApiKeyMiddleware. Solicitações que não fornecem uma chave de API do cliente são encaminhadas incondicionalmente para o próximo manipulador. Consequentemente, o sistema utiliza a variável de ambiente NETLICENSING API KEY do operador do servidor como fallback para autenticar chamadas à API REST do NetLicensing. Isso permite que um invasor de rede não autenticado invoque qualquer ferramenta MCP — incluindo listagem de produtos, criação/modificação de licenças e operações de exclusão destrutivas — utilizando a identidade e a cota de conta do operador.Detalhes técnicos incluem:
- API Endpoints: O endpoint
/mcpé vulnerável a acesso não autenticado. - Vulnerable Parameters or Variables: O cabeçalho
x-netlicensing-api-keye o parâmetro de consultaapikeynão são impostos, e a variável de ambienteNETLICENSING API KEYé usada como um fallback inseguro. - Function Names: O
ApiKeyMiddlewarefalha ao rejeitar solicitações quando a chave está ausente.
Recommendations
Para a versão 0.1.5, atualize o
ApiKeyMiddleware em server.py para retornar uma resposta 401 Unauthorized quando uma chave de API válida não for fornecida, exceto para o endpoint /health.
Como mitigação temporária, restrinja o acesso de rede ao endpoint /mcp apenas a fontes confiáveis.Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netlicensing-Mcp