js · @cardano402/mcp-serverAtenção

@cardano402/mcp-server 0.1.2: correções de segurança para gastos ilimitados, binding 0.0.0.0 e SSRF

Três vulnerabilidades de segurança foram corrigidas no @cardano402/mcp-server@0.

27 Jun 2026Leitura 1 minSeveridade: agende este mês

O que mudou

Três vulnerabilidades de segurança foram corrigidas no @cardano402/[email protected]: sem limites de gastos em pagamentos assinados, binding HTTP 0.0.0.0 sem autenticação e SSRF via catalog.server.url.

Quem isso afeta

Usuários do @cardano402/mcp-server versões <= 0.1.1, especialmente aqueles que usam transporte HTTP ou se conectam a catálogos não confiáveis.

O que fazer hoje

Atualize para a versão 0.1.2 imediatamente. Se não for possível, use workarounds: transporte stdio, apenas catálogos confiáveis, carteira quente com saldo baixo e evite MAINNET=true.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · @cardano402/mcp-server

@cardano402/mcp-server 0.1.2: correções de segurança para gastos ilimitados, binding 0.0.0.0 e SSRF

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre @cardano402/mcp-server

ESLint 10.6.0: nova versão patch

@sigstore/core: preAuthEncoding usa 'ascii' que permite mutação do payloadType após assinatura