skoveit/CVE-2026-34227

# 未认证的 MCP 接口 + CORS 绕过 Sliver 的 MCP 服务器启动了一个**未经认证的 SSE 接口**，并在每次响应中返回 `Access-Control-Allow-Origin: *`。 mcp-go 库不验证 `Content-Type`，因此**简单请求**（`text/plain`）完全绕过了浏览器的预检机制。没有 OPTIONS 请求。没有 CORS 拦截。无需认证。操作员访问的任何页面都可以静默地与其 C2 通信。 → **[GitHub 安全公告 GHSA-6fpf-248c-m7wm](https://github.com/BishopFox/sliver/security/advisories/GHSA-6fpf-248c-m7wm)** 由 [@skoveit](https://github.com/skoveit) 发现并报告

标签：Access-Control-Allow-Origin, BishopFox, CORS, CSRF, CVE-2026-34227, IP 地址批量处理, MCP, mcp-go, Sliver, SSE, Web安全, 命令与控制, 安全漏洞, 数据展示, 日志审计, 服务器发送事件, 未授权访问, 简单请求, 红队, 网络安全, 蓝队分析, 跨域资源共享, 跨站请求伪造, 身份验证绕过, 隐私保护