漏洞  ·  2026-07-02

DeepTutor — MCP 工具授权绕过允许低权限用户调用任何配置的 MCP 工具

漏洞High 影响GlobalCVE-2026-58168
发布于 2026-06-30(CVSS 8.8 高),CVE-2026-58168 是 DeepTutor 多用户 MCP 访问控制中的逻辑错误。应返回拒绝结果的函数对于缺失的权限改为返回 None,其传播为允许全部。DeepTutor 项目拥有 25,000+ GitHub 星标。概念证明拉取请求(PR #579)在披露时为公开。
AI 辅导平台中的 MCP 工具可包括文件系统访问、shell 执行和浏览器自动化。允许任何低权限用户——或来自不可信文档的提示注入内容——调用这些工具的绕过导致部署环境中的任意代码执行和数据盗取。提示注入向量在辅导环境中特别危险,其中学生提交的内容通常被摄取。
deeptutor/multi_user/tool_access.py 中的 allowed_mcp_tools() 函数在用户授权记录中缺少 mcp_tools 权限密钥时返回 None。调用者将 None 解释为不受限制的访问(允许全部)而不是拒绝。低权限用户或提示注入内容可以枚举并调用任何配置的 MCP 工具——包括 shell 执行和文件系统访问——无需授权。
HKUDS DeepTutor 1.4.10 之前
升级到 DeepTutor 1.4.10。修复提交:https://github.com/HKUDS/DeepTutor/commit/90046374b3dcd4f8a866d2d64a64440bc08eb2ef
来源
NVD CVE-2026-58168dbugs.ptsecurity.com — CVE-2026-58168 DetailGitHub fix commit
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →