CVE-2026-34200 in Nhostthông tin

Tóm tắt

Bởi VulDB • 08/06/2026

Nhost là một giải pháp thay thế mã nguồn mở cho Firebase với GraphQL. Trước phiên bản 1.41.0, máy chủ MCP CLI của Nhost, khi được cấu hình rõ ràng để lắng nghe trên một cổng mạng, không áp dụng xác thực đầu vào và không tuân thủ nghiêm ngặt CORS (Cross-Origin Resource Sharing). Điều này cho phép một trang web độc hại truy cập trên cùng máy tính gửi các yêu cầu khác nguồn đến máy chủ MCP và gọi các công cụ có đặc quyền bằng cách sử dụng thông tin đăng nhập được cấu hình cục bộ của nhà phát triển. Lỗ hổng này đòi hỏi hai bước cấu hình rõ ràng, không phải mặc định để có thể khai thác. Cấu hình `nhost mcp start` theo mặc định không bị ảnh hưởng. Vấn đề này đã được vá trong phiên bản 1.41.0.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

26/03/2026

Tiết lộ

31/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00361

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!