CVE-2026-48814: Уразливість у Network-AI MCP SSE сервері дозволяє неавторизований доступ
Критична уразливість у Network-AI MCP SSE сервері дозволяє неавторизований доступ до 22 MCP інструментів. Оновіть до версії 5.7.2 для захисту.
- CVSS
- 9.1 CRITICAL
- EPSS
- 21.45%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У версіях Network-AI 5.7.1 і раніше MCP SSE сервер дозволяв неавторизоване виконання MCP інструментів через порожній секрет за замовчуванням. Це призводило до можливості виклику 22 MCP інструментів без автентифікації з будь-якого не-браузерного клієнта.
Бізнес-вплив
Ця критична уразливість (CVSS 9.1) може дозволити зловмисникам виконувати адміністративні дії на сервері Network-AI без жодної автентифікації, що ставить під загрозу цілісність і конфіденційність системи. Власники інфраструктури повинні розглянути можливі ризики несанкціонованого доступу та потенційного порушення роботи сервісів.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Network-AI до версії 5.7.2 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до MCP SSE сервера, переглянути журнали на предмет підозрілої активності та мінімізувати експозицію сервісу в мережі. Також варто перевірити конфігурації CORS та секрети автентифікації.