製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Jeremiah LowinのFastMCPにおけるフィルタリングの回避に関する脆弱性

タイトル	Jeremiah LowinのFastMCPにおけるフィルタリングの回避に関する脆弱性
概要	FastMCPはMCPアプリケーションを構築するための標準フレームワークです。バージョン3.2.0以前では、FastMCP OAuthProxyを介してGitHub OAuthを使用してFastMCP MCPサーバーへの認証を可能にするGitHubProvider OAuth統合のテスト中に、FastMCP OAuthProxyがGitHubからの認可コードを受け取った際にユーザーの同意を適切に検証していませんでした。GitHubが以前に認可されたクライアントに対して同意ページをスキップする動作と組み合わさることで、Confused Deputyの脆弱性が発生しました。この問題はバージョン3.2.0で修正されました。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月3日0:00
登録日	2026年4月24日11:33
最終更新日	2026年4月24日11:33

CVSS3.0 : 警告
スコア	6.1
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

影響を受けるシステム

Jeremiah Lowin

FastMCP 3.2.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-27124	https://www.cve.org/CVERecord?id=CVE-2026-27124
National Vulnerability Database (NVD)
2	CVE-2026-27124	https://nvd.nist.gov/vuln/detail/CVE-2026-27124

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-441	https://cwe.mitre.org/data/definitions/441.html

ベンダー情報

No	名前	URL
GitHub
1	Missing Consent Verification in OAuth Proxy Callback Facilitates Confused Deputy Vulnerabilities Advisory PrefectHQ/fastmcp GitHub	https://github.com/PrefectHQ/fastmcp/security/advisories/GHSA-rww4-4w9c-7733

変更履歴

No	変更内容	変更日
1	[2026年04月24日] 掲載	2026年4月24日11:33

NVD脆弱性情報

CVE-2026-27124

概要	FastMCP is the standard framework for building MCP applications. Prior to version 3.2.0, while testing the GitHubProvider OAuth integration, which allows authentication to a FastMCP MCP server via a FastMCP OAuthProxy using GitHub OAuth, it was discovered that the FastMCP OAuthProxy does not properly validate the user's consent upon receiving the authorization code from GitHub. In combination with GitHub’s behavior of skipping the consent page for previously authorized clients, this introduces a Confused Deputy vulnerability. This issue has been patched in version 3.2.0.
公表日	2026年4月4日1:16
登録日	2026年4月15日11:24
最終更新日	2026年4月22日23:37

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:jlowin:fastmcp::::::::					3.2.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/PrefectHQ/fastmcp/security/advisories/GHSA-rww4-4w9c-7733	security-advisories@github.com
2	https://github.com/PrefectHQ/fastmcp/security/advisories/GHSA-rww4-4w9c-7733	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-441	フィルタリング回避	https://cwe.mitre.org/data/definitions/441.html