CVE-2026-34200 in Nhost
Tóm tắt
Bởi VulDB • 08/06/2026
Nhost là một giải pháp thay thế mã nguồn mở cho Firebase với GraphQL. Trước phiên bản 1.41.0, máy chủ MCP CLI của Nhost, khi được cấu hình rõ ràng để lắng nghe trên một cổng mạng, không áp dụng xác thực đầu vào và không tuân thủ nghiêm ngặt CORS (Cross-Origin Resource Sharing). Điều này cho phép một trang web độc hại truy cập trên cùng máy tính gửi các yêu cầu khác nguồn đến máy chủ MCP và gọi các công cụ có đặc quyền bằng cách sử dụng thông tin đăng nhập được cấu hình cục bộ của nhà phát triển. Lỗ hổng này đòi hỏi hai bước cấu hình rõ ràng, không phải mặc định để có thể khai thác. Cấu hình `nhost mcp start` theo mặc định không bị ảnh hưởng. Vấn đề này đã được vá trong phiên bản 1.41.0.
Once again VulDB remains the best source for vulnerability data.