CVE-2026-11624: Уразливість DNS rebinding у Model Context Protocol

Критична уразливість CVE-2026-11624 у Model Context Protocol дозволяє атаки DNS rebinding. Оновіть до v0.25.0 та налаштуйте дозволені хости для безпеки.
CVE-2026-11624CVSS 9.4DNS

CVE-2026-11624: Уразливість DNS rebinding у Model Context Protocol

Критична уразливість CVE-2026-11624 у Model Context Protocol дозволяє атаки DNS rebinding. Оновіть до v0.25.0 та налаштуйте дозволені хости для безпеки.

CVSS
9.4 CRITICAL
EPSS
4.81%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Model Context Protocol виявлено критичну уразливість, пов’язану з відсутністю перевірки заголовка "Origin" на вхідних з'єднаннях, що може призвести до атак DNS rebinding. Починаючи з версії v0.25.0, додано прапори "--allowed-hosts" і "--allowed-origins" для обмеження дозволених хостів і джерел.

Бізнес-вплив

Ця уразливість може дозволити зловмисникам обходити політики безпеки браузера, отримуючи несанкціонований доступ до серверів через DNS rebinding. Для операторів ІТ та власників інфраструктури це означає підвищений ризик компрометації серверів, особливо якщо використовуються версії до v0.25.0 без відповідних налаштувань. Відсутність належної перевірки може призвести до витоку даних або порушення цілісності систем.

Рекомендовані дії адміністратора

Рекомендується оновити Model Context Protocol до версії v0.25.0 або новішої та налаштувати прапори "--allowed-hosts" і "--allowed-origins" для обмеження доступу лише до довірених хостів і джерел. Якщо прапори встановлені в "*", слід звернути увагу на попередження при запуску сервера та переглянути налаштування безпеки. Також варто перевірити журнали на наявність підозрілої активності та зменшити експозицію сервісів у мережі.

Джерела