python · meta-ads-mcpCrítico

meta-ads-mcp: Vazamento de token de acesso do Meta em servidor MCP não autenticado

AuthInjectionMiddleware.dispatch() em http_auth_integration.py:272 encaminha requisições sem autenticação, e api.py:136 anexa access_token na URL, expondo-o em

12 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

AuthInjectionMiddleware.dispatch() em http_auth_integration.py:272 encaminha requisições sem autenticação, e api.py:136 anexa access_token na URL, expondo-o em respostas de erro.

Quem isso afeta

Todos os usuários de meta-ads-mcp versões ≤ 1.0.101 (e não confirmadas 1.0.102–1.0.105) que expõem o servidor MCP em uma rede.

O que fazer hoje

Aplique a correção: retorne 401 em AuthInjectionMiddleware.dispatch() quando não houver token de autenticação, e remova access_token de request_url em erros ou use o cabeçalho Authorization.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · meta-ads-mcp

meta-ads-mcp: Vazamento de token de acesso do Meta em servidor MCP não autenticado

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre meta-ads-mcp

zeroconf: vulnerabilidade de negação de serviço por consumo de memória e CPU

Kolibri: Vulnerabilidade SSRF em endpoints da API