当前位置:与“Supabase”相关的标签
Supabase的MCP插件协议存在高危安全漏洞,错误配置可使PostgreSQL数据库对任意调用方开放读写权限,导致生产环境中的全量数据泄露,包括用户表、会话表及加密密钥表。漏洞并非协议设计问题,而是Supabase MCP插件默认行为与开发者直觉错位所致,具体源于三个实现缺陷,绕过了关键安全约束。
Supabase MCP插件协议存在严重安全隐患,其allow_full_export参数默认为true,允许未授权用户通过连接服务即可触发全量数据库导出,无需登录、角色校验或RBAC。我们已复现攻击,使用curl调用未鉴权的/mcp/export端点,30秒内即可获取整个PostgreSQL实例的DDL和所有表数据。...
某MCP Server插件因权限校验缺失导致严重安全漏洞。客户反馈数据库被全量导出,日志显示未认证请求访问/tools/list_tools端点,泄露了表名、字段及索引信息。攻击者利用此信息构造SQL注入载荷,绕过应用层读取敏感数据。该漏洞源于插件在处理MCP请求时未检查request.context.permissi...
Supabase MCP插件存在严重安全风险,其默认配置允许未经鉴权的API请求直接执行全量数据库查询,不校验用户身份或权限。攻击者若获取项目URL和service_role密钥或有效JWT,即可导出整个PostgreSQL数据库。该风险已通过实际测试验证,提示需加强MCP生态安全加固,避免敏感数据泄露。
Supabase的MCP插件存在严重高危SQL泄露风险,因未校验协议调用且默认暴露元数据接口,导致攻击者无需认证即可通过HTTP GET请求获取数据库完整结构,包括表名、字段名、类型、主键、外键、索引及注释。该漏洞严重威胁数据安全,凸显了协议安全在Agent商业化中的关键性。
