CVE-2026-35577 in apollo-mcp-serverالمعلومات

الملخص

بحسب VulDB • 08/05/2026

خادم Apollo MCP هو خادم لبروتوكول سياق النموذج (Model Context Protocol) يعرض عمليات GraphQL كأدوات MCP. قبل الإصدار 1.7.0، لم يقم خادم Apollo MCP بالتحقق من صحة رأس Host في طلبات HTTP الواردة عند استخدام نقل StreamableHTTP. في التكوينات التي يعمل فيها خادم MCP قائم على HTTP على localhost دون مصادقة إضافية أو ضوابط على مستوى الشبكة، قد يسمح ذلك لموقع ويب خبيث – تمت زيارته بواسطة مستخدم يشغل الخادم محلياً – باستخدام تقنيات إعادة ربط DNS لتجاوز قيود سياسة نفس المصدر وإصدار طلبات إلى خادم MCP المحلي. إذا تم استغلال هذا الثغرة بنجاح، فقد يسمح للمهاجم باستدعاء الأدوات أو الوصول إلى الموارد التي يعرضها خادم MCP نيابة عن المستخدم المحلي. تقتصر هذه المشكلة على أوضاع النقل القائمة على HTTP (StreamableHTTP). ولا تؤثر على الخوادم التي تستخدم نقل stdio. يتم تقليل المخاطر العملية بشكل أكبر في النشر الذي يستخدم المصادقة، أو ضوابط الوصول على مستوى الشبكة، أو غير مرتبط بـ localhost. تم إصلاح هذه الثغرة في الإصدار 1.7.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

03/04/2026

إفشاء

09/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-356680

EPSS

0.00027

KEV

لا

النشاطات

منخفض جدًا

القطاع

Homeoffice, Transportation, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35577
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35577
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35577/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!