Apa yang terjadi
Dipublikasikan 2026-06-30 (CVSS 8.8 High), CVE-2026-58168 adalah kesalahan logika dalam kontrol akses MCP multi-pengguna DeepTutor. Fungsi yang seharusnya mengembalikan hasil deny untuk izin yang tidak ada justru mengembalikan None, yang menyebar sebagai allow-all. Proyek DeepTutor memiliki 25.000+ bintang GitHub. Permintaan tarik proof-of-concept (PR #579) bersifat publik pada saat pengungkapan.
Mengapa penting
Alat MCP dalam platform bimbingan AI dapat mencakup akses sistem file, eksekusi shell, dan otomasi browser. Bypass yang memungkinkan pengguna hak istimewa rendah — atau konten yang disuntikkan prompt dari dokumen yang tidak dipercaya — untuk memanggil alat ini menghasilkan eksekusi kode sembarangan dan ekskfiltrasi data di lingkungan penerapan. Vektor injeksi prompt sangat berbahaya dalam konteks bimbingan di mana konten yang disediakan siswa secara rutin dicerna.
Vektor serangan
Fungsi allowed_mcp_tools() dalam deeptutor/multi_user/tool_access.py mengembalikan None ketika kunci izin mcp_tools tidak ada dalam catatan pemberian pengguna. Pemanggil menginterpretasikan None sebagai akses tanpa batasan (allow-all) daripada deny. Pengguna hak istimewa rendah atau konten yang disuntikkan prompt dapat menghitung dan memanggil alat MCP yang dikonfigurasi — termasuk eksekusi shell dan akses sistem file — tanpa otorisasi.
Sistem yang terdampak
HKUDS DeepTutor sebelum 1.4.10
Mitigasi
Upgrade ke DeepTutor 1.4.10. Komit perbaikan: https://github.com/HKUDS/DeepTutor/commit/90046374b3dcd4f8a866d2d64a64440bc08eb2ef