CVE-2026-44430 in registryالمعلومات

الملخص

بحسب VulDB • 15/05/2026

توفر سجل MCP (MCP Registry) لعملاء MCP قائمة بخوادم MCP، تشبه متجر التطبيقات لخوادم MCP. قبل الإصدار 1.7.7، كان التحقق من النطاق المستند إلى HTTP في السجل (POST /v0/auth/http، POST /v0.1/auth/http) يستخدم دالة safeDialContext (في internal/api/handlers/v0/auth/http.go:67-110) لرفض الاتصال بالعناوين الخاصة/الداخلية عند جلب ملف المفتاح العام المعروف من نطاق يقدمه الناشر. تعتمد قائمة الحظر (isBlockedIP، الأسطر 125-133) كلياً على دوال IsLoopback / IsPrivate / IsLinkLocalUnicast / IsMulticast / IsUnspecified في مكتبة Go القياسية بالإضافة إلى نطاق CGNAT محدد يدوياً. لا يغطي أي من هذه العناوين بروتوكول IPv6 6to4 (2002::/16)، أو NAT64 (64:ff9b::/96 و 64:ff9b:1::/48 وفقاً لـ RFC 8215)، أو العناوين المحلية للموقع منتهية الصلاحية (fec0::/10) — وكلها تشفر عناوين IPv4 عشوائية في بتات العنوان وتقوم بالتوجيه (tunneling) نحو خدمات RFC1918 / خدمات metadata السحابية على المضيفين الذين يدعمون dual-stack أو NAT64. تم إصلاح هذا الثغرة الأمنية في الإصدار 1.7.7.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

06/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364018

EPSS

0.00027

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44430
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44430
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44430/

التالي نظرة عامة السابق

Might our Artificial Intelligence support you?

Check our Alexa App!