事件经过
CVE-2026-52830(CVSS 9.4 严重级,于 2026-07-02 发布)影响 Telegram MCP 服务器 fast-mcp-telegram(0.19.1 版本之前)。服务器通过将原始令牌字符串直接加入会话文件路径来验证 HTTP Bearer 令牌,而不规范化路径分隔符。验证者拒绝确切的保留令牌 "telegram",但不拒绝路径遍历序列。远程未身份验证的攻击者可以发送经过精心构造的令牌(如 "../fast-mcp-telegram/telegram"),该令牌解析到默认旧版会话文件 (~/.config/fast-mcp-telegram/telegram.session),绕过会话隔离并以旧版 Telegram 帐户身份进行身份验证。启用帐户前缀 MCP 工具后,攻击者可获得对该 Telegram 会话公开的所有 MCP 工具的完全访问权限。
影响分析
Telegram MCP 服务器将 AI 智能体与具有完整消息读/写权限的 Telegram 帐户进行桥接。身份验证绕过意味着未经身份验证的远程攻击者可以代表受害者的 Telegram 帐户调用所有 MCP 工具——读取私人消息、发送消息、访问群组聊天和泄露联系人数据。在 Telegram 用于通知、批准或命令控制的智能体工作流中,这代表对 AI 智能体通信渠道的完全帐户接管。
攻击途径
具有路径遍历 Bearer 令牌(例如 "../fast-mcp-telegram/telegram")的未身份验证 HTTP 请求导致服务器解析到默认会话文件,授予对受害者 Telegram 帐户上所有 MCP 工具的完全访问权限。
受影响系统
fast-mcp-telegram < 0.19.1
缓解措施
将 fast-mcp-telegram 升级至 0.19.1 或更高版本。GitHub 公告:https://github.com/advisories/GHSA-rxw2-pc8j-vxwm