Wiz
Banco de Dados de VulnerabilidadesCVE-2025-62800

CVE-2025-62800
Model Context Protocol Análise e mitigação de vulnerabilidades

Visão geral

CVE-2025-62800 is a Cross-Site Scripting (XSS) vulnerability discovered in FastMCP's OAuth client callback functionality. The vulnerability was published on October 28, 2025, affecting FastMCP versions prior to 2.13.0 (GitHub Advisory).

Detalhes técnicos

The vulnerability exists in the OAuth callback page implementation located in the client/oauthcallback.py file. The issue stems from the createcallback_html function embedding user-controlled content without proper escaping or sanitization. This allows for reflected XSS attacks through various parameters, including the error GET parameter, which gets inserted directly into the callback page (GitHub Advisory).

Impacto

When successfully exploited, this vulnerability allows attackers to execute arbitrary JavaScript code in the victim's browser within the callback server's origin. The exploitation can be triggered either through direct access to the callback URL or potentially through a malicious authorization server that returns an exploitation URL in the authorization_endpoint field (GitHub Advisory).

Mitigação e soluções alternativas

The vulnerability has been patched in FastMCP version 2.13.0. Users are advised to upgrade to this version or later to mitigate the risk (GitHub Advisory).

Recursos adicionais

OrigemEste relatório foi gerado usando IA

Relacionado Model Context Protocol Vulnerabilidades:

CVE ID

Gravidade

Pontuação

Tecnologias

Nome do componente

Exploração do CISA KEV

Tem correção

Data de publicação

CVE-2025-53366HIGH8.7
  • Model Context ProtocolModel Context Protocol
  • mcp
NãoSimJul 04, 2025
CVE-2025-53365HIGH8.7
  • Model Context ProtocolModel Context Protocol
  • mcp
NãoSimJul 04, 2025
GHSA-c2jp-c369-7pvxHIGH7.3
  • Model Context ProtocolModel Context Protocol
  • fastmcp
NãoSimOct 29, 2025
CVE-2025-62801MEDIUM5.4
  • Model Context ProtocolModel Context Protocol
  • fastmcp
NãoSimOct 28, 2025
CVE-2025-62800MEDIUM5.3
  • Model Context ProtocolModel Context Protocol
  • fastmcp
NãoSimOct 28, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."
David EstlickCISO
"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."
Adão FletcherDiretor de Segurança
"Sabemos que se a Wiz identifica algo como crítico, na verdade é."
Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades
Ver demonstração