MCPHub 漏洞总结 漏洞概述 MCPHub 存在硬编码默认管理员密码的安全漏洞。在早期版本中,系统使用了固定的默认凭据(如 / ),攻击者可直接利用这些已知凭据访问管理后台。 影响范围 受影响版本:v0.12.12 及更早版本 影响组件:MCPHub 管理后台 风险等级:高危(攻击者无需身份验证即可获取管理员权限) 修复方案 1. 移除硬编码默认密码:不再使用固定的默认凭据 2. 动态生成随机密码:首次启动时自动生成随机密码并打印到服务器日志 3. 支持环境变量配置:通过 环境变量预设管理员密码 4. 强制首次登录修改密码:建议用户在首次登录后立即修改默认密码 修复代码示例 Docker 部署配置(修复后) 配置文件示例 安全建议 升级至最新版本(v0.12.12+) 使用强密码并通过环境变量配置 在生产环境中启用 OAuth 2.0 认证 定期更新依赖包(如近期更新的 版本)