CVE-2026-27124 in fastmcpthông tin

Tóm tắt

Bởi VulDB • 25/05/2026

FastMCP là khung tiêu chuẩn để xây dựng các ứng dụng MCP. Trước phiên bản 3.2.0, trong quá trình kiểm tra tích hợp OAuth của GitHubProvider, cho phép xác thực với máy chủ MCP FastMCP thông qua FastMCP OAuthProxy bằng cách sử dụng GitHub OAuth, đã phát hiện ra rằng FastMCP OAuthProxy không xác nhận đúng đắn sự đồng ý của người dùng khi nhận mã ủy quyền từ GitHub. Kết hợp với hành vi của GitHub là bỏ qua trang đồng ý đối với các khách hàng đã được ủy quyền trước đó, điều này dẫn đến lỗ hổng Confused Deputy. Vấn đề này đã được vá trong phiên bản 3.2.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

17/02/2026

Tiết lộ

03/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00207

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!