استغلال MCP من Supabase لتسريب جداول SQL الخاصة
2025-07-09
اكتشف الباحثون ثغرة أمنية تسمح للمهاجمين بتسريب جداول SQL خاصة للمطورين من خلال استغلال تكامل MCP من Supabase. رسالة تذكرة دعم مصممة بعناية تخدع مساعد LLM لتنفيذ استعلامات SQL، متجاوزةً أمان مستوى الصف والوصول إلى بيانات حساسة مثل رموز OAuth. تنبع الثغرة من امتيازات الوصول إلى قاعدة البيانات المفرطة لمساعد LLM (service_role) وثقته العمياء في المحتوى المقدم من المستخدم. تتضمن الحلول استخدام الوضع للقراءة فقط كلما أمكن ذلك، وإضافة عامل تصفية حقن المطالبات.
اقرأ المزيد
التطوير