CVE-2026-11624: Krytyczna luka w Model Context Protocol związana z atakami DNS rebinding

Krytyczna luka CVE-2026-11624 umożliwia ataki DNS rebinding. Aktualizacja do v0.25.0 i konfiguracja dozwolonych hostów zwiększa bezpieczeństwo serwera.
CVE-2026-11624CVSS 9.4DNS

CVE-2026-11624: Krytyczna luka w Model Context Protocol związana z atakami DNS rebinding

Krytyczna luka CVE-2026-11624 umożliwia ataki DNS rebinding. Aktualizacja do v0.25.0 i konfiguracja dozwolonych hostów zwiększa bezpieczeństwo serwera.

CVSS
9.4 CRITICAL
EPSS
4.81%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Model Context Protocol przed wersją 0.25.0 nie umożliwiał weryfikacji nagłówka "Origin" na serwerze, co narażało na ataki DNS rebinding. W wersji 0.25.0 wprowadzono flagi "--allowed-hosts" i "--allowed-origins", pozwalające na określenie dozwolonych hostów i źródeł, co zwiększa bezpieczeństwo połączeń.

Wpływ biznesowy

Brak weryfikacji nagłówka "Origin" umożliwiał atakującym wykorzystanie DNS rebinding do obejścia zabezpieczeń i potencjalnego dostępu do wewnętrznych zasobów serwera. Operatorzy powinni zweryfikować konfigurację serwerów Model Context Protocol, aby zapobiec nieautoryzowanemu dostępowi i ograniczyć ryzyko poważnych naruszeń bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się aktualizację do wersji 0.25.0 lub nowszej, w której dostępne są flagi "--allowed-hosts" i "--allowed-origins". Należy skonfigurować te opcje tak, aby ograniczyć dozwolone hosty i źródła do zaufanych wartości. W przypadku ustawienia flag na "*" serwer wyświetli ostrzeżenie, co powinno skłonić do dokładnej analizy i zaostrzenia polityk dostępu. Dodatkowo warto monitorować logi serwera pod kątem podejrzanych połączeń i regularnie przeglądać dokumentację bezpieczeństwa.

Źródła