EresusSecurity
Advisory içeriklerine dön
GHSA-wmv9-3qh3-9rpwCriticalCVSS: 9.8

MCPHub skipAuth Konfigürasyonu ile Kimlik Doğrulama Atlatma

Yayımlandı: 2026-04-16

Özet

Eresus Security, MCPHub <= 0.12.12 sürümlerinde kritik bir authentication bypass zafiyeti keşfetti. systemConfig.routing.skipAuth etkin olduğunda, kimliği doğrulanmamış kullanıcılar credential sunmadan platform üzerinde geniş idari erişim elde edebilir.

Bu davranış yalnızca görsel bir guest mode değildir. Zafiyetli davranış şu katmanları etkiler:

  • authentication middleware;
  • admin authorization kontrolleri;
  • public configuration endpoint.

Bu zincir, anonim kullanıcıların user management, configuration export ve MCP server administration gibi ayrıcalıklı operasyonlara erişmesine izin verebilir.

Etkilenen Bileşen

  • Package: mcphub (npm)
  • Etkilenen sürümler: <= 0.12.12
  • Patch durumu: yayın anında patch yok
  • Advisory: GHSA-wmv9-3qh3-9rpw

Kök Neden

Zafiyetli davranış birden fazla bileşende görülür:

  1. Authentication middleware, skipAuth etkin olduğunda gerçek user context oluşturmadan erken döner.
  2. Admin authorization logic, aynı flag'e bağımsız olarak güvenir ve anonim trafiği idari yetkili gibi ele alabilir.
  3. /public-config disclosure, skipAuth durumunu dışarıya gösterir ve kimliği doğrulanmamış çağrıcıya elevated permission bilgisini açığa çıkarır.

Bu durum net bir istismar zinciri oluşturur:

  1. /public-config ile instance fingerprint edilir.
  2. skipAuth: true durumu doğrulanır.
  3. Admin-only endpointler doğrudan çağrılır.

Pratik Etki

Saldırgan şunları yapabilir:

  • kullanıcıları ve admin hesaplarını listeleyebilir;
  • kullanıcı oluşturabilir, değiştirebilir veya silebilir;
  • secret ve configuration export alabilir;
  • MCP server oluşturabilir veya yönetebilir;
  • server registration erişilebiliyorsa problemi remote code execution zincirine çevirebilir.

Configuration state dışarıdan görülebildiği için açık instance'ların internet genelinde hızlı şekilde fingerprint edilmesi de mümkündür.

Neden Önemli?

Konfigürasyonla gelen bypass hataları özellikle tehlikelidir; çünkü çoğu zaman "geçici kolaylık" ayarı gibi görülür. Uygulama bu ayarı trust primitive olarak kullanmaya başladığında kolaylık ile compromise arasındaki sınır ortadan kalkar.

MCPHub üzerinde skipAuth yalnızca login UI'ı atlamaz. Platformun güven modelini baştan değiştirir.

Çözüm ve Azaltım

  1. Başka kullanıcı veya sistemlerin erişebildiği tüm instance'larda skipAuth kapatılmalıdır.
  2. skipAuth: true ile dışarı açık instance'lar potansiyel olarak compromise kabul edilmelidir.
  3. Export edilmiş secret, bearer key, API token ve credential materyalleri rotate edilmelidir.
  4. User management aksiyonları ve configuration export kayıtları şüpheli erişim için incelenmelidir.
  5. Administration endpointlerine erişim network controls ve güçlü authentication ile sınırlandırılmalıdır.

Tespit İçin Bakılacak Sinyaller

Şunlara bakılmalıdır:

  • /public-config endpointine unauthenticated erişim;
  • /api/users veya /api/mcp-settings/export üzerinde beklenmeyen okuma istekleri;
  • normal authentication akışı olmadan hesap oluşturma veya privilege değişiklikleri;
  • anonim erişim sonrası yeni veya değiştirilmiş server tanımları.

Kredi

Eresus Security Research Team tarafından raporlanmıştır.