当前位置:与“MCP插件”相关的标签
Supabase的MCP插件协议存在高危安全漏洞,错误配置可使PostgreSQL数据库对任意调用方开放读写权限,导致生产环境中的全量数据泄露,包括用户表、会话表及加密密钥表。漏洞并非协议设计问题,而是Supabase MCP插件默认行为与开发者直觉错位所致,具体源于三个实现缺陷,绕过了关键安全约束。
Supabase MCP插件存在严重安全风险,其默认配置允许未经鉴权的API请求直接执行全量数据库查询,不校验用户身份或权限。攻击者若获取项目URL和service_role密钥或有效JWT,即可导出整个PostgreSQL数据库。该风险已通过实际测试验证,提示需加强MCP生态安全加固,避免敏感数据泄露。
Supabase的MCP插件存在严重高危SQL泄露风险,因未校验协议调用且默认暴露元数据接口,导致攻击者无需认证即可通过HTTP GET请求获取数据库完整结构,包括表名、字段名、类型、主键、外键、索引及注释。该漏洞严重威胁数据安全,凸显了协议安全在Agent商业化中的关键性。
