@zenalexa/unicli: validação de Origin ausente no transporte MCP HTTP legado (CVE pendente)

Versões do Uni-CLI anteriores a 0.225.2 não validavam o cabeçalho Origin no transporte MCP JSON-RPC-over-HTTP legado, permitindo que páginas web maliciosas enviassem requisições POST CORS simples ao endpoint /mcp local e acionassem chamadas tools/call. A versão 0.225.2 adiciona uma proteção compartilhada de Origin que rejeita Origins de navegador não loopback com HTTP 403 antes do roteamento.

Usuários executando Uni-CLI versões anteriores a 0.225.2 com o transporte HTTP MCP legado habilitado.

Atualize para Uni-CLI versão 0.225.2 ou superior imediatamente. Se não for possível atualizar, mude para transporte stdio ou Streamable HTTP e evite expor o transporte HTTP legado a tráfego originado de navegadores.