python · netlicensing-mcpCrítico
netlicensing-mcp: Path Traversal em netlicensing_get_product
Uma vulnerabilidade de path traversal em netlicensing_get_product permite que um invasor contorne a redação de tokens passando '.
O que mudou
Uma vulnerabilidade de path traversal em netlicensing_get_product permite que um invasor contorne a redação de tokens passando '../token' como product_number, fazendo com que httpx normalize a URL para o endpoint de token e retorne chaves de API em texto simples.
Quem isso afeta
Todos os usuários do netlicensing-mcp que possuem um cliente MCP autenticado com uma chave de API válida.
O que fazer hoje
Aplique a correção adicionando um validador centralizado de segmentos de caminho em client.py e chame-o de todas as funções auxiliares HTTP (nl_get, nl_post, nl_put, nl_delete) para rejeitar sequências de path traversal.
A esteira
Coletado→
Auditado→
Redigido→
Publicado