Kerentanan  ·  2026-07-04

Kong Konnect MCP Server — Indirect Prompt Injection Memungkinkan Eksekusi API Request yang Tidak Diinginkan (CVE-2026-13341)

KerentananHigh dampakGlobalCVE-2026-13341
CVE-2026-13341 (CVSS 7.4 High, dipublikasikan 2026-07-03) memengaruhi Kong Konnect Model Context Protocol (MCP) server sebelum versi 1.0.0. Attacker remote dapat membuat input yang, ketika diproses oleh LLM agent yang terhubung ke MCP server, menyebabkan agent mengeksekusi API requests yang tidak diinginkan terhadap infrastruktur Kong Konnect API gateway — serangan indirect prompt injection textbook. Vektor CVSS (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:A) mengindikasikan network-accessible, tidak ada authentication diperlukan, dengan changed scope dan high confidentiality impact.
Kong Konnect adalah salah satu platform API gateway dan management enterprise yang paling banyak di-deploy. MCP server-nya mengekspos AI agents ke breadth penuh operasi API management — routing rules, service configurations, plugin settings, credentials. Indirect prompt injection di sini memungkinkan attacker mengalihkan tindakan agent untuk membaca API secrets, enumerate internal service configurations, atau memanipulasi gateway routing tanpa pernah authenticate ke Konnect secara langsung. Ini adalah supply-chain amplifier: satu MCP interaction yang poisoned dapat mempengaruhi semua APIs yang dikelola melalui gateway.
Attacker menanam konten malicious yang di-ingest oleh LLM agent yang terhubung ke Kong Konnect MCP server; injected instructions menyebabkan agent mengeluarkan unintended API requests (data exfiltration, configuration manipulation) terhadap Kong Konnect management plane.
Kong mcp-konnect MCP server < 1.0.0
Upgrade Kong mcp-konnect ke versi 1.0.0 atau lebih baru. GitHub advisory: https://github.com/Kong/mcp-konnect/security/advisories/GHSA-7767-3m3w-2p44
NVD — CVE-2026-13341GitHub Advisory GHSA-7767-3m3w-2p44 (Kong mcp-konnect)PT Security dbugs — CVE-2026-13341 (published 2026-07-03)Kong Blog — AI Agent Platforms Are Getting Hacked (2026-07-02)
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →