CVE-2026-48814: Уразливість у Network-AI MCP SSE сервері дозволяє неавторизований доступ

Критична уразливість у Network-AI MCP SSE сервері дозволяє неавторизований доступ до 22 MCP інструментів. Оновіть до версії 5.7.2 для захисту.
CVE-2026-48814CVSS 9.1DNS

CVE-2026-48814: Уразливість у Network-AI MCP SSE сервері дозволяє неавторизований доступ

Критична уразливість у Network-AI MCP SSE сервері дозволяє неавторизований доступ до 22 MCP інструментів. Оновіть до версії 5.7.2 для захисту.

CVSS
9.1 CRITICAL
EPSS
21.45%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях Network-AI 5.7.1 і раніше MCP SSE сервер дозволяв неавторизоване виконання MCP інструментів через порожній секрет за замовчуванням. Це призводило до можливості виклику 22 MCP інструментів без автентифікації з будь-якого не-браузерного клієнта.

Бізнес-вплив

Ця критична уразливість (CVSS 9.1) може дозволити зловмисникам виконувати адміністративні дії на сервері Network-AI без жодної автентифікації, що ставить під загрозу цілісність і конфіденційність системи. Власники інфраструктури повинні розглянути можливі ризики несанкціонованого доступу та потенційного порушення роботи сервісів.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Network-AI до версії 5.7.2 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до MCP SSE сервера, переглянути журнали на предмет підозрілої активності та мінімізувати експозицію сервісу в мережі. Також варто перевірити конфігурації CORS та секрети автентифікації.

Джерела