Plataforma
nodejs
Componente
mcp-from-openapi
Corregido en
1.0.5
1.0.5
1.0.5
2.3.1
2.3.0
La vulnerabilidad CVE-2026-39885 afecta a la biblioteca mcp-from-openapi en Node.js. Esta vulnerabilidad de tipo Server-Side Request Forgery (SSRF) permite a un atacante, al proporcionar una especificación OpenAPI maliciosa, realizar solicitudes a recursos internos o leer archivos locales. Las versiones afectadas son aquellas menores o iguales a 2.1.2. Se ha publicado una corrección en la versión 2.3.0.
Un atacante puede explotar esta vulnerabilidad proporcionando una especificación OpenAPI que contenga referencias ($ref) a direcciones IP internas, metadatos de la nube o archivos locales. La biblioteca mcp-from-openapi utiliza la librería json-schema-ref-parser para resolver estas referencias sin aplicar restricciones de URL, lo que permite al atacante acceder a estos recursos. Esto podría resultar en la exposición de información sensible, la ejecución de código arbitrario en el servidor (dependiendo de los recursos accesibles) o incluso el acceso a la infraestructura subyacente. La falta de validación de las URLs en las especificaciones OpenAPI abre una puerta a ataques de SSRF, similar a vulnerabilidades observadas en otros parsers de JSON Schema.
La vulnerabilidad CVE-2026-39885 fue publicada el 8 de abril de 2026. No se ha añadido a la lista KEV de CISA al momento de esta redacción. No se han reportado públicamente ataques activos relacionados con esta vulnerabilidad, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear los canales de seguridad para detectar cualquier actividad sospechosa.
Applications built with Node.js that utilize the mcp-from-openapi library to process untrusted OpenAPI specifications are at risk. This includes microservice architectures, API gateways, and any system where OpenAPI specifications are dynamically generated or received from external sources. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromised application could potentially impact others.
• nodejs / supply-chain:
npm list mcp-from-openapi
npm audit mcp-from-openapi• generic web:
curl -I <application_endpoint_processing_openapi_specs>
# Look for unexpected outbound requests in the response headers or bodydisclosure
patch
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la biblioteca mcp-from-openapi a la versión 2.3.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas podrían incluir la restricción de las URLs permitidas en las especificaciones OpenAPI a través de un proxy o firewall, o la implementación de un Web Application Firewall (WAF) que filtre las solicitudes maliciosas. Además, se debe revisar y validar cuidadosamente todas las especificaciones OpenAPI antes de procesarlas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes a recursos internos o archivos locales ya no son posibles a través de la especificación OpenAPI.
Actualice a la versión 2.3.0 o superior de FrontMCP para mitigar la vulnerabilidad de SSRF. Esta versión corrige el problema al restringir las URL que se pueden acceder durante el proceso de inicialización de las especificaciones OpenAPI.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39885 is a Server-Side Request Forgery (SSRF) vulnerability in the mcp-from-openapi Node.js library, allowing attackers to access internal resources through malicious OpenAPI specifications.
You are affected if you are using mcp-from-openapi versions 2.1.2 or earlier and process untrusted OpenAPI specifications.
Upgrade to version 2.3.0 or later of the mcp-from-openapi library. Alternatively, implement URL restrictions or sanitize OpenAPI specifications.
While no active exploitation has been confirmed, the vulnerability is relatively straightforward to exploit, increasing the risk of future exploitation.
Refer to the mcp-from-openapi project's release notes and security advisories on their GitHub repository for official information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.