V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-35577
CVE
Высокий

Apollo MCP Server - это сервер протокола типового контекста, который выставляет операции GraphQL в качестве инструментов MCP. До версии 1.7…

CVSS
8.1
Высокий
EPSS
0.00
p7
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Apollo MCP Server - это сервер протокола типового контекста, который выставляет операции GraphQL в качестве инструментов MCP. До версии 1.7.0 сервер Apollo MCP не проверял заголовок хоста при входящих HTTP-запросах при использовании StreamableHTTP. В конфигурациях, где сервер MCP на основе HTTP работает на локальном хосте без дополнительной аутентификации или элементов управления на сетевом уровне, это может потенциально позволить вредоносному веб-сайту, посещенному пользователем, использующим сервер локально, использовать методы повторного подключения DNS для обхода ограничений политики того же происхождения и выдачи запросов на локальный сервер MCP. При успешной эксплуатации это может позволить злоумышленнику вызывать инструменты или получать доступ к ресурсам, открытым сервером MCP от имени локального пользователя. Эта проблема ограничена видами транспорта на основе HTTP (StreamableHTTP). Это не влияет на серверы, использующие эстакадный транспорт. Практический риск еще больше снижается при развертываниях, которые используют аутентификацию, элементы управления доступом на уровне сети или не привязаны к локальному хосту. Эта уязвимость фиксируется в разделе 1.7.0.

Теги · CWE
Без аутентификации
CWE-346
CAPEC-21
CAPEC-59
CAPEC-60
CAPEC-75
CAPEC-76
CAPEC-89
CAPEC-111
CAPEC-141
CAPEC-142
CAPEC-160
CAPEC-384
CAPEC-385
CAPEC-386
CAPEC-387
CAPEC-388
CAPEC-510
Затронутые продукты
Apollo_mcp_server < 1.7.0
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.002 · p7
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-60 · CWE-346
└ через CAPEC-21 · CWE-346
└ через CAPEC-60 · CWE-346
└ через CAPEC-141 · CWE-346
└ через CAPEC-142 · CWE-346
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
apollo_mcp_server*Отслеживается