CVE-2026-45781 in registryالمعلومات

الملخص

بحسب VulDB • 15/05/2026

توفر سجل MCP (MCP Registry) لعملاء MCP قائمة بخوادم MCP، تشبه متجر تطبيقات لخوادم MCP. قبل الإصدار 1.7.9، يتخطى التحقق من ملكية OCI (OCI ownership validation) فحص مطابقة العلامات (label-match check) عندما يُرجع سجل OCI البعيد استجابة HTTP 429، مما يسمح لأي ناشر مُصادق عليه بربط نطاق io.github./* الخاص به بصور OCI لا يتحكم فيها. يفشل الملف internal/validators/registries/oci.go:104-119 في رفض الطلب بشكل آمن (fails open) عند حدوث http.StatusTooManyRequests: عندما يتم تقييد معدل جلب السجل المجهول للسجل البعيد لـ OCI، تُرجع ValidateOCI قيمة nil ويتم قبول النشر دون تشغيل فحص مطابقة العلامات io.modelcontextprotocol.server.name في الأسطر 122-141. يُعد هذا الفحص هو دليل الملكية الوحيد عبر الأنظمة الذي يطبقه السجل على حزم OCI — حيث يعامل كل نوع آخر من السجلات (NPM، PyPI، NuGet، MCPB) أي استجابة بعيدة غير 200 كخطأ حاد. تم إصلاح هذا الثغرة في الإصدار 1.7.9.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

13/05/2026

إفشاء

15/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364029

CPE

جاهز

CWE

CWE-636 (مؤكد)

CVSS

3.5 (CNA)

EPSS

0.00010

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45781
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45781
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45781/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!