CVE-2026-27124 in fastmcp
Riassunto
di VulDB • 22/06/2026
FastMCP è il framework standard per la creazione di applicazioni MCP. Prima della versione 3.2.0, durante i test dell'integrazione OAuth di GitHubProvider, che consente l'autenticazione a un server MCP FastMCP tramite un proxy OAuth FastMCP utilizzando GitHub OAuth, si è scoperto che il proxy OAuth FastMCP non convalida correttamente il consenso dell'utente al ricevimento del codice di autorizzazione da GitHub. In combinazione con il comportamento di GitHub di saltare la pagina di consenso per i client precedentemente autorizzati, ciò introduce una vulnerabilità Confused Deputy. Questo problema è stato risolto nella versione 3.2.0.
Once again VulDB remains the best source for vulnerability data.