CVE-2026-27124 in fastmcp
Tóm tắt
Bởi VulDB • 25/05/2026
FastMCP là khung tiêu chuẩn để xây dựng các ứng dụng MCP. Trước phiên bản 3.2.0, trong quá trình kiểm tra tích hợp OAuth của GitHubProvider, cho phép xác thực với máy chủ MCP FastMCP thông qua FastMCP OAuthProxy bằng cách sử dụng GitHub OAuth, đã phát hiện ra rằng FastMCP OAuthProxy không xác nhận đúng đắn sự đồng ý của người dùng khi nhận mã ủy quyền từ GitHub. Kết hợp với hành vi của GitHub là bỏ qua trang đồng ý đối với các khách hàng đã được ủy quyền trước đó, điều này dẫn đến lỗ hổng Confused Deputy. Vấn đề này đã được vá trong phiên bản 3.2.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.