CVE-2025-59163
vet MCP Server SSE Transport DNS Rebinding Vulnerability
En resumen
La herramienta vet no valida adecuadamente los encabezados HTTP cuando funciona como servidor, permitiendo que atacantes en la misma red ejecuten un ataque de rebinding DNS para acceder a datos de la base de datos de escaneo.
Detalle técnico
CVE-2025-59163 es una vulnerabilidad de rebinding DNS (CWE-350) en la capa SSE del MCP Server de vet afectando versiones ≤1.12.4. El problema surge por falta de validación de los encabezados Host y Origin; un atacante puede hacer rebinding de un dominio a localhost y acceder a la herramienta MCP sqlite3 para exfiltrar datos de la base de escaneo. Requiere acceso a la red y puertos predeterminados; se corrige en v1.12.5.
Resumen generado y traducido por IA a partir de la descripción oficial.
vet is an open source software supply chain security tool. Versions 1.12.4 and below are vulnerable to a DNS rebinding attack due to lack of HTTP Host and Origin header validation. Data from the vet scan sqlite3 database may be exposed to remote attackers when vet is used as an MCP server in SSE mode with default ports through the sqlite3 query MCP tool. This issue is fixed in version 1.12.5.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Productos afectados
safedep · vet¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →