CRITICAL🇬🇧 English

CVE-2026-44895

GitLab MCP Server – brak uwierzytelnienia w HTTP transport (RCE via API)

CVSS 9.2v4.0pub. 2026-05-26upd. 2026-06-01

GitLab MCP Server przed wersją 0.6.0 udostępnia endpoint RPC bez żadnego mechanizmu uwierzytelnienia, z wildcard CORS i nasłuchem na wszystkich interfejsach sieciowych. Atakujący zdalny, bez żadnych poświadczeń, może wykonywać dowolne operacje w GitLab z uprawnieniami tokena operatora.

Pokaż oryginał (EN)

GitLab MCP Server lets an AI agent talk directly to GitLab. Prior to 0.6.0, the HTTP transport in src/transport.ts ships with no authentication layer at all and a wildcard Access-Control-Allow-Origin: * on every response. The structural defect is that the SSE server stands up a stateful, mutation-capable RPC endpoint that is backed by the operator's GITLAB_PERSONAL_ACCESS_TOKEN without any inbound credential check, then advertises itself to every cross-origin browser context via the wildcard CORS header. The httpServer.listen(port) call at line 97 also passes no host argument, so the bind defaults to 0.0.0.0 and exposes the auth-less surface on every interface. This vulnerability is fixed in 0.6.0.

🤖 Analiza AI
Jak działa

Komponent HTTP transport (src/transport.ts) uruchamia serwer SSE realizujący stanowe, mutujące wywołania RPC, które są wykonywane w kontekście skonfigurowanego tokena GITLAB_PERSONAL_ACCESS_TOKEN. Serwer nie implementuje żadnej walidacji przychodzących żądań (CWE-306 – brak uwierzytelnienia dla funkcji krytycznych). Jednocześnie każda odpowiedź zawiera nagłówek Access-Control-Allow-Origin: *, co umożliwia każdej stronie internetowej w przeglądarce ofiary wysyłanie żądań cross-origin do endpointu (CWE-942 – nadmiernie permisywna polityka CORS). Dodatkowo wywołanie httpServer.listen(port) nie przekazuje argumentu host, przez co serwer domyślnie nasłuchuje na 0.0.0.0 i jest dostępny na wszystkich interfejsach sieciowych maszyny.

Skutki

Atakujący bez żadnych poświadczeń może wykonywać dowolne operacje w GitLab z pełnymi uprawnieniami tokena operatora, w tym odczytywać i modyfikować repozytoria, tajemnice CI/CD, konfiguracje pipeline'ów oraz inne zasoby dostępne dla tego tokena.

Mitygacja

Należy zaktualizować GitLab MCP Server do wersji 0.6.0 lub nowszej, w której podatność została naprawiona. Do czasu aktualizacji zaleca się ograniczenie dostępu do portu serwera MCP na poziomie firewalla wyłącznie do zaufanych źródeł oraz unikanie wystawiania serwera na publiczne interfejsy sieciowe.

Kogo dotyczy

GitLab MCP Server (mcp-gitlab-server) w wersjach przed 0.6.0

Uwagi

Podatność dotyczy komponentów CI/CD pipeline i środowisk AI agent. Szczegóły opublikowano w security advisory GHSA-8jr5-6gvj-rfpf w repozytorium GitHub projektu yoda-digital/mcp-gitlab-server.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
CI/CD
CWE
Referencje