neo4j neo4j-cypher MCP server bis 0.3.1 DNS erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.4 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in neo4j neo4j-cypher MCP server bis 0.3.1 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente DNS Handler. Die Bearbeitung verursacht erweiterte Rechte. Diese Sicherheitslücke ist unter CVE-2025-10193 bekannt. Ein Angriff ist aus der Distanz möglich. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine Schwachstelle wurde in neo4j neo4j-cypher MCP server bis 0.3.1 gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um ein unbekannter Codeblock der Komponente DNS Handler. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-346. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
DNS rebinding vulnerability in Neo4j Cypher MCP server allows malicious websites to bypass Same-Origin Policy protections and execute unauthorised tool invocations against locally running Neo4j MCP instances. The attack relies on the user being enticed to visit a malicious website and spend sufficient time there for DNS rebinding to succeed.Die Schwachstelle wurde durch Evan Harris als GHSA-vcqx-v2mg-7chx veröffentlicht. Das Advisory kann von neo4j.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 09.09.2025 als CVE-2025-10193 statt. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 0.4.0 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2025-28908) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.4
VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-346 / CWE-345
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: neo4j-cypher MCP server 0.4.0
Timeline
09.09.2025 CVE zugewiesen11.09.2025 Advisory veröffentlicht
11.09.2025 VulDB Eintrag erstellt
11.09.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: GHSA-vcqx-v2mg-7chxPerson: Evan Harris
Status: Bestätigt
CVE: CVE-2025-10193 (🔒)
GCVE (CVE): GCVE-0-2025-10193
GCVE (VulDB): GCVE-100-323636
EUVD: 🔒
Eintrag
Erstellt: 11.09.2025 17:08Aktualisierung: 11.09.2025 17:53
Anpassungen: 11.09.2025 17:08 (73), 11.09.2025 17:53 (1)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.