CVE-2025-13822 是一个认证绕过漏洞,影响到 @samanhappy/mcphub 库。该漏洞允许未经身份验证的攻击者访问未受保护的端点,从而执行其他用户特权操作。受影响的版本包括 @samanhappy/mcphub 的 0.11.0 之前的版本。该漏洞已在 0.11.0 版本中修复。
CVE-2025-13822 影响 MCPHub 的 0.11.0 之前的版本,存在关键的身份验证绕过漏洞。 此漏洞允许未经身份验证的攻击者在没有有效凭证的情况下访问系统中的某些端点。 因此,攻击者可以代表其他用户执行操作,可能访问敏感数据、修改配置或损害系统完整性。 此漏洞的严重性在于其易于利用以及对应用程序安全和处理的数据的潜在影响。 为了减轻此风险,必须将 MCPHub 更新到 0.11.0 或更高版本。 这些端点上缺乏适当的身份验证会为可能产生重大后果的攻击打开入口。
此漏洞是由于 MCPHub 中的某些端点未通过身份验证中间件进行保护而产生的。 这意味着攻击者可以直接向这些端点发送请求,而无需登录或提供有效凭证。 然后,攻击者可以操纵请求以执行未经授权的操作,例如修改用户数据、更改权限或以提升的权限执行命令。 利用相对简单,只需要了解易受攻击的端点以及发送 HTTP 请求的能力。 在允许访问这些功能之前未验证用户身份是此问题的根本原因。 缺乏身份验证使应用程序容易受到身份欺骗攻击和未经授权的访问。
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
CVE-2025-13822 的解决方案是将 MCPHub 更新到 0.11.0 或更高版本。 此版本包含修复程序以解决身份验证绕过漏洞。 在执行更新时,建议实施额外的安全措施,例如限制网络访问并监控系统是否存在可疑活动。 重要的是验证更新是否已正确应用,并且受影响的端点现在已通过适当的身份验证进行保护。 此外,审查应用程序的配置以确保应用最佳安全实践对于防止未来事件至关重要。 更新是最有效的措施,但补充措施可以增强安全性。
Actualice MCPHub a la versión 0.11.0 o superior para mitigar la vulnerabilidad de bypass de autenticación. Esta actualización corrige la falta de protección de autenticación en ciertos endpoints, previniendo que atacantes no autentificados realicen acciones en nombre de otros usuarios.
漏洞分析和关键警报直接发送到您的邮箱。
MCPHub 是一种用于 [在此处插入 MCPHub 的描述] 的工具。
更新到 0.11.0 版本将修复可能允许攻击者在未经授权的情况下访问您系统的安全漏洞。
在更新期间,请限制网络访问并监控系统活动。
如果您使用的是 0.11.0 之前的版本,则容易受到此漏洞的影响。
请参阅 MCPHub 的官方文档或漏洞数据库中的 CVE-2025-13822 条目。