CVE-2025-59163
vet MCP Server SSE Transport DNS Rebinding Vulnerability
Em resumo
A ferramenta vet não valida corretamente os cabeçalhos HTTP quando funciona como servidor, permitindo que atacantes na mesma rede explorem um ataque de rebinding DNS para acessar dados do banco de dados de varredura.
Detalhe técnico
CVE-2025-59163 é uma vulnerabilidade de rebinding DNS (CWE-350) na camada SSE do MCP Server do vet afetando versões ≤1.12.4. O problema decorre da falta de validação dos cabeçalhos Host e Origin; um atacante pode fazer rebinding de um domínio para localhost e acessar a ferramenta MCP sqlite3 para exfiltrar dados do banco de varredura. Requer acesso à rede e uso de portas padrão; corrigido na v1.12.5.
Resumo gerado e traduzido por IA a partir da descrição oficial.
vet is an open source software supply chain security tool. Versions 1.12.4 and below are vulnerable to a DNS rebinding attack due to lack of HTTP Host and Origin header validation. Data from the vet scan sqlite3 database may be exposed to remote attackers when vet is used as an MCP server in SSE mode with default ports through the sqlite3 query MCP tool. This issue is fixed in version 1.12.5.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Produtos afetados
safedep · vetQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →