当前位置:与“数据库安全”相关的标签
Supabase MCP插件存在严重安全风险,其默认配置允许未经鉴权的API请求直接执行全量数据库查询,不校验用户身份或权限。攻击者若获取项目URL和service_role密钥或有效JWT,即可导出整个PostgreSQL数据库。该风险已通过实际测试验证,提示需加强MCP生态安全加固,避免敏感数据泄露。
Supabase的MCP插件存在严重高危SQL泄露风险,因未校验协议调用且默认暴露元数据接口,导致攻击者无需认证即可通过HTTP GET请求获取数据库完整结构,包括表名、字段名、类型、主键、外键、索引及注释。该漏洞严重威胁数据安全,凸显了协议安全在Agent商业化中的关键性。
