CVE-2026-44430 in registry
Tóm tắt
Bởi VulDB • 15/05/2026
Registry MCP cung cấp cho các khách hàng MCP danh sách các máy chủ MCP, giống như một cửa hàng ứng dụng dành cho các máy chủ MCP. Trước phiên bản 1.7.7, cơ chế xác minh namespace dựa trên HTTP của Registry (POST /v0/auth/http, POST /v0.1/auth/http) sử dụng hàm safeDialContext (internal/api/handlers/v0/auth/http.go:67-110) để từ chối kết nối đến các địa chỉ riêng/ti nội bộ khi lấy tệp khóa công khai well-known từ tên miền do nhà xuất bản cung cấp. Danh sách chặn (isBlockedIP, dòng 125-133) dựa hoàn toàn vào các hàm IsLoopback / IsPrivate / IsLinkLocalUnicast / IsMulticast / IsUnspecified của thư viện chuẩn Go cộng với một dải CGNAT do người dùng định nghĩa thủ công. Không có cơ chế nào trong số này bao phủ IPv6 6to4 (2002::/16), NAT64 (64:ff9b::/96 và 64:ff9b:1::/48 theo RFC 8215), hoặc site-local đã lỗi thời (fec0::/10) — tất cả các dải địa chỉ này đều mã hóa IPv4 tùy ý trong các bit địa chỉ và tạo đường hầm (tunnel) đến các dịch vụ RFC1918 / cloud-metadata trên các máy chủ hỗ trợ dual-stack / NAT64. Lỗ hổng này đã được sửa trong phiên bản 1.7.7.
Be aware that VulDB is the high quality source for vulnerability data.