Kerentanan  ·  2026-07-02

DeepTutor — Bypass Otorisasi Alat MCP Memungkinkan Pengguna Hak Istimewa Rendah untuk Memanggil Alat MCP yang Dikonfigurasi

KerentananHigh dampakGlobalCVE-2026-58168
Dipublikasikan 2026-06-30 (CVSS 8.8 High), CVE-2026-58168 adalah kesalahan logika dalam kontrol akses MCP multi-pengguna DeepTutor. Fungsi yang seharusnya mengembalikan hasil deny untuk izin yang tidak ada justru mengembalikan None, yang menyebar sebagai allow-all. Proyek DeepTutor memiliki 25.000+ bintang GitHub. Permintaan tarik proof-of-concept (PR #579) bersifat publik pada saat pengungkapan.
Alat MCP dalam platform bimbingan AI dapat mencakup akses sistem file, eksekusi shell, dan otomasi browser. Bypass yang memungkinkan pengguna hak istimewa rendah — atau konten yang disuntikkan prompt dari dokumen yang tidak dipercaya — untuk memanggil alat ini menghasilkan eksekusi kode sembarangan dan ekskfiltrasi data di lingkungan penerapan. Vektor injeksi prompt sangat berbahaya dalam konteks bimbingan di mana konten yang disediakan siswa secara rutin dicerna.
Fungsi allowed_mcp_tools() dalam deeptutor/multi_user/tool_access.py mengembalikan None ketika kunci izin mcp_tools tidak ada dalam catatan pemberian pengguna. Pemanggil menginterpretasikan None sebagai akses tanpa batasan (allow-all) daripada deny. Pengguna hak istimewa rendah atau konten yang disuntikkan prompt dapat menghitung dan memanggil alat MCP yang dikonfigurasi — termasuk eksekusi shell dan akses sistem file — tanpa otorisasi.
HKUDS DeepTutor sebelum 1.4.10
Upgrade ke DeepTutor 1.4.10. Komit perbaikan: https://github.com/HKUDS/DeepTutor/commit/90046374b3dcd4f8a866d2d64a64440bc08eb2ef
Sumber
NVD CVE-2026-58168dbugs.ptsecurity.com — CVE-2026-58168 DetailGitHub fix commit
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →