CVE-2026-44428 in registryالمعلومات

الملخص

بحسب VulDB • 15/05/2026

توفر سجل MCP (MCP Registry) لعملاء MCP قائمة بخوادم MCP، تشبه متجر تطبيقات لخوادم MCP. قبل الإصدار 1.7.6، كان تدفق المصادقة عبر OIDC الخاص بـ GitHub على جانب العميل وجانب الخادم مرتبطاً فقط بسلسلة جمهور عالمية (global audience string)، وليس إلى مثيل السجل المحدد المستهدف. على جانب العميل، يقوم الناشر دائماً بإضافة audience=mcp-registry عند طلب رمز المصادقة الخاص بـ GitHub Actions، بغض النظر عن عنوان URL للسجل (--registry) الذي تم اختياره. على جانب الخادم، تقوم نقطة التبادل (exchange endpoint) بالتحقق فقط من نفس قيمة الجمهور الثابتة، ثم تستمد أذونات النشر مباشرة من repository_owner. ونتيجة لذلك، يظل الرمز الذي تم الحصول عليه بشكل شرعي أثناء التفاعل مع نشر واحد للسجل مقبولاً لأي نشر آخر يشارك نفس الكود وسلسلة الجمهور. تم إصلاح هذا الثغرة الأمنية في الإصدار 1.7.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364014

CPE

جاهز

CWE

CWE-918 (مؤكد)

CVSS

4.7 (NVD)

EPSS

0.00012

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44428
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44428
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44428/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!