MCP Gateway обеспечивает простой и безопасный запуск и развертывание серверов MCP. В версиях 0.27.0 и ранее, когда MCP Gateway работает в р…
MCP Gateway обеспечивает простой и безопасный запуск и развертывание серверов MCP. В версиях 0.27.0 и ранее, когда MCP Gateway работает в режиме sse или потокового транспорта, он уязвим для DNS-переобучения. Злоумышленник, который может заставить жертву посетить вредоносный веб-сайт или получить вредоносную рекламу, может выполнять браузерную эксплуатацию MCP-серверов, выполняющих шлюз, включая манипулирование инструментами или другими функциями, открытыми этими MCP-серверами. MCP Gateway не затрагивается при работе в режиме стиовер по умолчанию, который не слушает на сетевых портах. Версия 0.28.0 исправляет эту проблему.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →