Krytyczna luka w Network-AI umożliwiająca nieautoryzowane wywołania narzędzi MCP
Luka CVE-2026-48814 w Network-AI pozwala na nieautoryzowane wywołania narzędzi MCP. Zalecana aktualizacja do wersji 5.7.2 i ograniczenie dostępu.
- CVSS
- 9.1 CRITICAL
- EPSS
- 21.45%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Network-AI w wersjach 5.7.1 i wcześniejszych serwer MCP SSE domyślnie używał pustego sekretu, co pozwalało na nieautoryzowane wywołania narzędzi MCP z dowolnego źródła. Luka ta umożliwiała wykonanie 22 narzędzi MCP bez uwierzytelnienia, co stanowi poważne zagrożenie bezpieczeństwa.
Wpływ biznesowy
Dla operatorów IT i właścicieli infrastruktury oznacza to ryzyko nieautoryzowanego dostępu i potencjalnej manipulacji konfiguracją lub uruchamiania agentów w środowisku Network-AI. Atakujący mogą wykorzystać tę lukę do eskalacji uprawnień i przejęcia kontroli nad systemem, co może prowadzić do poważnych zakłóceń operacyjnych i naruszenia danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Network-AI do wersji 5.7.2 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do serwera MCP SSE wyłącznie do zaufanych adresów IP, przejrzeć logi pod kątem podejrzanej aktywności oraz monitorować wywołania narzędzi MCP. Ponadto warto zweryfikować konfigurację CORS i sekretów uwierzytelniających, aby zapobiec nieautoryzowanemu dostępowi.