PT-2026-60101 · Unknown · Netlicensing-Mcp

CVE-2026-54446

·

Publicado

2026-07-14

·

Atualizado

2026-07-15

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas netlicensing-mcp versão 0.1.5
Description Ao ser executado no modo de transporte HTTP, o software falha ao impor a autenticação no ApiKeyMiddleware. Solicitações que não fornecem uma chave de API do cliente são encaminhadas incondicionalmente para o próximo manipulador. Consequentemente, o sistema utiliza a variável de ambiente NETLICENSING API KEY do operador do servidor como fallback para autenticar chamadas à API REST do NetLicensing. Isso permite que um invasor de rede não autenticado invoque qualquer ferramenta MCP — incluindo listagem de produtos, criação/modificação de licenças e operações de exclusão destrutivas — utilizando a identidade e a cota de conta do operador.
Detalhes técnicos incluem:
  • API Endpoints: O endpoint /mcp é vulnerável a acesso não autenticado.
  • Vulnerable Parameters or Variables: O cabeçalho x-netlicensing-api-key e o parâmetro de consulta apikey não são impostos, e a variável de ambiente NETLICENSING API KEY é usada como um fallback inseguro.
  • Function Names: O ApiKeyMiddleware falha ao rejeitar solicitações quando a chave está ausente.
Recommendations Para a versão 0.1.5, atualize o ApiKeyMiddleware em server.py para retornar uma resposta 401 Unauthorized quando uma chave de API válida não for fornecida, exceto para o endpoint /health. Como mitigação temporária, restrinja o acesso de rede ao endpoint /mcp apenas a fontes confiáveis.

Correção

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54446
GHSA-X9VC-9FFQ-P3GJ

Produtos afetados

Netlicensing-Mcp