Platform
python
Component
fastmcp
Opgelost in
3.2.1
3.2.0
Deze kwetsbaarheid, aangeduid als CVE-2026-32871, is een kritieke Path Traversal bug in FastMCP versies tot en met 3.1.1. Door het onvoldoende valideren van padparameters in OpenAPI specificaties kan een aanvaller ongeautoriseerd toegang krijgen tot interne bestanden en bronnen. De kwetsbaarheid is openbaar gemaakt op 31 maart 2026 en een fix is beschikbaar in versie 3.2.0.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te lezen, mogelijk gevoelige configuratiebestanden, broncode of andere kritieke gegevens. Dit kan leiden tot een compromittering van de gehele applicatie en de onderliggende infrastructuur. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de directory structuur kan navigeren om toegang te krijgen tot niet-bestemde bronnen. De ernst van de kwetsbaarheid wordt verhoogd door het feit dat FastMCP vaak wordt gebruikt in omgevingen waar gevoelige data wordt verwerkt.
De kwetsbaarheid is openbaar gemaakt op 31 maart 2026. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis of toevoeging aan de CISA KEV catalogus. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven, maar de aard van de kwetsbaarheid maakt het waarschijnlijk dat dergelijke exploits in de toekomst zullen verschijnen.
Organizations utilizing FastMCP for managing MCP client API exposure are at risk, particularly those running versions prior to 3.2.0. Environments with less stringent input validation practices or those lacking WAF protection are especially vulnerable. Shared hosting environments where multiple users share the same FastMCP instance could also be affected, as an attacker could potentially exploit the vulnerability to access data belonging to other users.
• python / server:
import os
import urllib.parse
def check_url_encoding(url, base_url):
parsed_url = urllib.parse.urljoin(base_url, url)
if '..' in parsed_url:
print(f"Potential Path Traversal detected: {parsed_url}")• linux / server:
journalctl -u fastmcp -f | grep "urljoin" # Monitor for URL construction logs• generic web:
curl -I 'http://your-fastmcp-server/api/v1/users/../sensitive_file.txt' # Attempt directory traversaldisclosure
Exploit Status
EPSS
0.35% (58% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar FastMCP versie 3.2.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge input validatie en URL-encoding voor alle padparameters die worden gebruikt in de buildurl() methode. Daarnaast kan het configureren van een Web Application Firewall (WAF) met regels die pogingen tot Path Traversal detecteren en blokkeren, helpen om de risico's te verminderen. Na de upgrade, controleer de configuratie van FastMCP om er zeker van te zijn dat er geen andere onveilige instellingen aanwezig zijn.
Actualiseer de FastMCP bibliotheek naar versie 3.2.0 of hoger. Deze versie corrigeert de SSRF en Path Traversal kwetsbaarheid. De update kan worden uitgevoerd met behulp van de pip package manager: `pip install --upgrade fastmcp`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32871 is a critical vulnerability in FastMCP versions up to 3.1.1 that allows attackers to access arbitrary files through path traversal.
You are affected if you are using FastMCP versions 3.1.1 or earlier. Upgrade to 3.2.0 or later to mitigate the risk.
Upgrade FastMCP to version 3.2.0 or later. As a temporary workaround, implement strict input validation and consider using a WAF.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is a potential target for attackers.
Refer to the FastMCP project's official website or GitHub repository for the latest security advisories and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.