CVE-2026-11624: Krytyczna luka w Model Context Protocol związana z atakami DNS rebinding
Krytyczna luka CVE-2026-11624 umożliwia ataki DNS rebinding. Aktualizacja do v0.25.0 i konfiguracja dozwolonych hostów zwiększa bezpieczeństwo serwera.
- CVSS
- 9.4 CRITICAL
- EPSS
- 4.81%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Model Context Protocol przed wersją 0.25.0 nie umożliwiał weryfikacji nagłówka "Origin" na serwerze, co narażało na ataki DNS rebinding. W wersji 0.25.0 wprowadzono flagi "--allowed-hosts" i "--allowed-origins", pozwalające na określenie dozwolonych hostów i źródeł, co zwiększa bezpieczeństwo połączeń.
Wpływ biznesowy
Brak weryfikacji nagłówka "Origin" umożliwiał atakującym wykorzystanie DNS rebinding do obejścia zabezpieczeń i potencjalnego dostępu do wewnętrznych zasobów serwera. Operatorzy powinni zweryfikować konfigurację serwerów Model Context Protocol, aby zapobiec nieautoryzowanemu dostępowi i ograniczyć ryzyko poważnych naruszeń bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się aktualizację do wersji 0.25.0 lub nowszej, w której dostępne są flagi "--allowed-hosts" i "--allowed-origins". Należy skonfigurować te opcje tak, aby ograniczyć dozwolone hosty i źródła do zaufanych wartości. W przypadku ustawienia flag na "*" serwer wyświetli ostrzeżenie, co powinno skłonić do dokładnej analizy i zaostrzenia polityk dostępu. Dodatkowo warto monitorować logi serwera pod kątem podejrzanych połączeń i regularnie przeglądać dokumentację bezpieczeństwa.