CVE-2025-9611

Exploit

EPSS 0.17%
Veröffentlicht 07.01.2026 04:24:13
Zuletzt bearbeitet 08.01.2026 18:08:54
Quelle disclosure@vulncheck.com
CVE-Watchlists
Login
Unerledigt
Login

Microsoft Playwright MCP Server versions prior to 0.0.40 fails to validate the Origin header on incoming connections. This allows an attacker to perform a DNS rebinding attack via a victim’s web browser and send unauthorized requests to a locally running MCP server, resulting in unintended invocation of MCP tool endpoints.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 6

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerMicrosoft

≫

Produkt Playwright

Default Statusunaffected

Version < 0.0.40

Version 0

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.17%	0.38

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
disclosure@vulncheck.com	7.2	0	0	CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

CWE-749 Exposed Dangerous Method or Function

The product provides an Applications Programming Interface (API) or similar interface for interaction with external actors, but the interface includes a dangerous method or function that is not properly restricted.

https://github.com/JLLeitschuh/security-research/security/advisories/GHSA-8rgw-6xp9-2fg3

https://github.com/microsoft/playwright/commit/1313fbd

https://www.vulncheck.com/advisories/microsoft-playwright-mcp-server-dns-rebinding-via-missing-origin-header-validation

https://nvd.nist.gov/vuln/detail/CVE-2025-9611

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2025-9611

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2025-9611

EUVD