事件经过
发布于 2026-06-30(CVSS 8.8 高),CVE-2026-58168 是 DeepTutor 多用户 MCP 访问控制中的逻辑错误。应返回拒绝结果的函数对于缺失的权限改为返回 None,其传播为允许全部。DeepTutor 项目拥有 25,000+ GitHub 星标。概念证明拉取请求(PR #579)在披露时为公开。
影响分析
AI 辅导平台中的 MCP 工具可包括文件系统访问、shell 执行和浏览器自动化。允许任何低权限用户——或来自不可信文档的提示注入内容——调用这些工具的绕过导致部署环境中的任意代码执行和数据盗取。提示注入向量在辅导环境中特别危险,其中学生提交的内容通常被摄取。
攻击途径
deeptutor/multi_user/tool_access.py 中的 allowed_mcp_tools() 函数在用户授权记录中缺少 mcp_tools 权限密钥时返回 None。调用者将 None 解释为不受限制的访问(允许全部)而不是拒绝。低权限用户或提示注入内容可以枚举并调用任何配置的 MCP 工具——包括 shell 执行和文件系统访问——无需授权。
受影响系统
HKUDS DeepTutor 1.4.10 之前
缓解措施
升级到 DeepTutor 1.4.10。修复提交:https://github.com/HKUDS/DeepTutor/commit/90046374b3dcd4f8a866d2d64a64440bc08eb2ef