Apa yang terjadi
Dua CVE dipublikasikan 2026-06-23 terhadap server Foreman MCP: CVE-2026-12112 (CVSS 7.8) adalah kelemahan manajemen sesi di mana server melakukan cache koneksi terautentikasi dan mempercayai session ID non-rahasia tanpa re-validasi, memungkinkan session hijack dari sesi admin oleh penyerang yang tidak terautentikasi. CVE-2026-9073 (CVSS 6.2) mendokumentasikan dua mekanisme logging yang mengekspos identifikator sesi dan data otentikasi lengkap masing-masing di level INFO dan DEBUG.
Mengapa penting
Foreman mengelola siklus hidup lengkap server dan infrastruktur. MCP server yang membungkus Foreman dengan kelemahan session hijack dan credential-logging berarti agen AI yang terhubung ke Foreman MCP dapat dimanipulasi untuk mengekspos sesi administratif atau sesinya sendiri dapat dicuri — mengkompromikan seluruh infrastruktur yang dikelola melalui lapisan orkestrasi AI.
Vektor serangan
(CVE-2026-12112) Penyerang yang tidak terautentikasi menyediakan session ID non-rahasia; server secara tidak tepat melakukan cache koneksi klien terautentikasi dan menggunakannya kembali tanpa re-validasi, memungkinkan session hijack dari sesi administratif yang aktif. (CVE-2026-9073) Identifikator sesi (diperlakukan sebagai kredensial otentikasi) dicatat pada level INFO; logging debug juga mengekspos data otentikasi lengkap dalam log.
Sistem yang terdampak
foreman-mcp-server (semua versi sebelum patch RHSA-2026:28438)
Mitigasi
Terapkan Red Hat errata RHSA-2026:28438. Advisory: https://access.redhat.com/errata/RHSA-2026:28438