MCPHub: obejście uwierzytelniania grozi przejęciem kont

TL;DR

W projekcie MCPHub ¹ wykryto podatność umożliwiającą obejście uwierzytelniania. Atakujący bez logowania mogą wykonywać operacje z uprawnieniami innych użytkowników ². Dotyczy wersji poniżej 0.11.0 ¹. Aktualizacja dostępna — wdrożenie w ciągu 48 godzin rekomendowane dla instancji publicznych.

W skrócie: Brak ochrony na niektórych endpointach = każdy może działać jako każdy. Jeśli MCPHub jest dostępny z internetu, to priorytet zero.

---

Co się stało

CERT Polska opublikował alert dotyczący podatności CVE-2025-13822 ¹ w MCPHub — narzędziu do zarządzania Model Context Protocol (MCP). Problem: niektóre endpointy aplikacji nie są chronione przez middleware uwierzytelniający ³.

To oznacza, że atakujący bez żadnych danych logowania może wysłać żądanie HTTP do podatliwego endpointu i wykonać akcję w imieniu dowolnego użytkownika ². Nie trzeba znać hasła, tokenu ani 2FA (uwierzytelniania dwuetapowego). Wystarczy wiedzieć, jaki endpoint istnieje.

---

Typ podatności: Authorization Bypass

Podatność klasyfikowana jest jako CWE-639 ⁴ — Authorization Bypass Through User-Controlled Key. W praktyce oznacza to, że aplikacja pozwala atakującemu manipulować parametrami żądania (np. ID użytkownika, token sesji) bez weryfikacji, czy osoba wysyłająca żądanie ma prawo to robić.

Scenariusz ataku:

1. Atakujący identyfikuje podatliwy endpoint (np. /api/users/{user_id}/settings).
2. Wysyła żądanie z ID innego użytkownika (np. administratora).
3. Middleware nie sprawdza uprawnień żądającego.
4. Akcja wykonuje się z uprawnieniami celu.

To klasyczne zagrożenie dla aplikacji webowych, ale szczególnie niebezpieczne w narzędziach do zarządzania — MCPHub może mieć dostęp do wrażliwych danych lub systemów zewnętrznych.

---

Kogo dotyczy

Bezpośrednio:

• Instancje MCPHub w wersjach poniżej 0.11.0 ¹
• Szczególnie te dostępne z internetu lub wewnątrz sieci korporacyjnej

Pośrednio:

• Firmy korzystające z MCPHub do integracji z modelami AI (LLM)
• Zespoły DevOps/ML Engineering, które wdrożyły MCPHub w infrastrukturze

---

Wskaźniki kompromitacji

Jeśli podejrzewasz, że podatliwość została wykorzystana, zwróć uwagę na:

— Logi dostępu do endpointów API MCPHub z nieznanych źródeł IP
— Zmiany w ustawieniach użytkowników (hasła, klucze API, integracje)
— Operacje wykonane z kont administratorów w godzinach poza pracą
— Żądania HTTP do endpointów bez nagłówka Authorization lub z pustym tokenem

Rekomendacja: przejrzyj logi dostępu do MCPHub z ostatnich 7 dni, szczególnie żądania POST/PUT/DELETE bez poprawnego tokenu sesji.

---

Co zrobić w 24-48 godzin

Priorytet 1: Aktualizacja (TERAZ)

1. Sprawdź wersję MCPHub — uruchom mcphub --version lub sprawdź w interfejsie administratora.
2. Jeśli wersja < 0.11.0 — aktualizuj natychmiast:

   pip install --upgrade mcphub
   # lub
   docker pull mcphub:latest && docker-compose up -d

3. Zrestartuj usługę — upewnij się, że nowa wersja się załadowała.
4. Weryfikacja — ponownie sprawdź wersję, powinna być >= 0.11.0.

Priorytet 2: Tymczasowe ograniczenie dostępu (jeśli aktualizacja czeka)

Jeśli nie możesz aktualizować natychmiast:

• Ogranicz dostęp sieciowy — MCPHub powinien być dostępny tylko z zaufanych IP (firewall, security group).
• Wyłącz publiczny dostęp — jeśli MCPHub jest dostępny z internetu, umieść go za VPN lub reverse proxy z uwierzytelnianiem.
• Monitoruj logi — włącz verbose logging, aby złapać próby exploitacji.

Priorytet 3: Audyt uprawnień

Po aktualizacji:

1. Przejrzyj ostatnie zmiany — sprawdź logi zmian użytkowników, kluczy API, integracji z ostatnich 7 dni.
2. Zresetuj hasła administratorów — jeśli podejrzewasz kompromitację.
3. Rotacja kluczy API — jeśli MCPHub ma dostęp do zewnętrznych usług (LLM, bazy danych).

---

Kontekst dla polskich firm

MCPHub to narzędzie niszowe, ale rosnące w popularności wśród polskich firm AI/ML. Jeśli Twoja organizacja:

• Eksperymentuje z dużymi modelami językowymi (LLM) — MCPHub może być w Twoim stacku.
• Ma zespół DevOps/ML Engineering — mogą go wdrożyć bez wiedzy zespołu bezpieczeństwa.
• Korzysta z open-source’owych narzędzi do integracji AI — to typowy kandydat.

Rekomendacja dla polskich firm MŚP: jeśli nie wiesz, czy MCPHub jest w Twojej infrastrukturze, zapytaj zespół techniczny. Authorization Bypass to zagrożenie, które może pozostać niezauważone — atakujący nie zostawia oczywistych śladów (nie ma wpisu logowania, bo w ogóle się nie loguje).

---

Atrybucja

Podatność została zgłoszona do CERT Polska przez Eryka Winiarza ⁵.

---

Ocena ryzyka

CVSS 5.3 — średnie ryzyko. Authorization Bypass to zawsze poważne zagrożenie, bo otwiera drzwi do dalszych ataków.

Rzeczywiste ryzyko zależy od:

• Czy MCPHub jest dostępny z internetu? (wysoko ryzykowne)
• Czy ma dostęp do wrażliwych danych lub integracji? (wysoko ryzykowne)
• Czy jest za firewallem korporacyjnym? (średnie ryzyko)

---

Źródła

Zobacz też

• Claw Chain: 4 luki w OpenClaw pozwalają na przejęcie kontroli
• Alert: Luka XSS w Verint Verba zagraża danym administratorów
• Check Point: Luka CVE-2026-50752 w IKEv1 zagraża tunelom VPN

Footnotes

1. CVE-2025-13822 dotyczy podatności w MCPHub w wersjach poniżej 0.11.0 — https://cert.pl/posts/2026/04/CVE-2025-13822/ ↩ ↩² ↩³ ↩⁴

2. Atakujący mogą wykonywać działania z wykorzystaniem uprawnień innych użytkowników — https://cert.pl/posts/2026/04/CVE-2025-13822/ ↩ ↩²

3. Podatność polega na braku ochrony niektórych endpointów przez middleware uwierzytelniający — https://cert.pl/posts/2026/04/CVE-2025-13822/ ↩

4. Typ podatności to Authorization Bypass Through User-Controlled Key (CWE-639) — https://cert.pl/posts/2026/04/CVE-2025-13822/ ↩

5. Podatność została zgłoszona do CERT Polska przez Eryka Winiarza — https://cert.pl/posts/2026/04/CVE-2025-13822/ ↩