Plateforme
nodejs
Composant
mcp-markdownify-server
Corrigé dans
0.0.2
La vulnérabilité CVE-2025-5276 est une faille de type Server-Side Request Forgery (SSRF) affectant la bibliothèque mcp-markdownify-server, dans les versions inférieures ou égales à 0.0.1. Cette faille permet à un attaquant d'exploiter la fonction Markdownify.get() pour effectuer des requêtes arbitraires, potentiellement exposant des données sensibles. La version corrigée est '*' et la vulnérabilité a été publiée le 29 mai 2025.
Un attaquant peut exploiter cette vulnérabilité SSRF en créant une requête malveillante qui, une fois traitée par le serveur MCP, déclenche l'appel des outils webpage-to-markdown, bing-search-to-markdown et youtube-to-markdown. Ces outils peuvent alors être utilisés pour effectuer des requêtes vers des URLs contrôlées par l'attaquant, permettant la lecture des réponses et potentiellement la divulgation d'informations sensibles. L'attaquant pourrait ainsi accéder à des ressources internes non accessibles publiquement, interagir avec des services internes, ou même effectuer des actions en tant que le serveur MCP. La portée de l'attaque dépendra des permissions et des accès dont dispose le serveur MCP.
La vulnérabilité CVE-2025-5276 a été publiée le 29 mai 2025. Aucune information concernant une exploitation active ou un Proof of Concept (PoC) public n'est disponible à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC public.
Applications and services utilizing the mcp-markdownify-server package, particularly those deployed in environments with sensitive internal resources accessible via HTTP/HTTPS, are at risk. This includes development environments, testing servers, and production deployments where the package is used for markdown processing.
• nodejs: Monitor process execution for suspicious outbound HTTP requests originating from the mcp-markdownify-server process. Use ps aux | grep mcp-markdownify-server to identify running processes and netstat -an | grep mcp-markdownify-server to check connections.
ps aux | grep mcp-markdownify-server
netstat -an | grep mcp-markdownify-server• generic web: Check access logs for requests to unusual or unexpected URLs originating from the server hosting mcp-markdownify-server. Look for patterns indicative of SSRF attempts.
grep 'markdownify-server' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque mcp-markdownify-server vers une version corrigée (version '*'). En attendant, des mesures d'atténuation peuvent être mises en place. Il est recommandé de restreindre l'accès au serveur MCP et de mettre en œuvre des contrôles d'accès stricts pour limiter les actions que le serveur peut effectuer. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que la fonction Markdownify.get() ne permet plus l'accès à des URLs externes non autorisées.
Mettez à jour le paquet mcp-markdownify-server vers la dernière version disponible. Cela corrigera la vulnérabilité SSRF dans la fonction Markdownify.get(). Consultez les notes de version pour plus de détails sur la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-5276 est une vulnérabilité de type Server-Side Request Forgery (SSRF) affectant la bibliothèque Node.js mcp-markdownify-server, permettant à un attaquant d'effectuer des requêtes arbitraires via le serveur.
Oui, si vous utilisez mcp-markdownify-server dans une version inférieure ou égale à 0.0.1, vous êtes affecté par cette vulnérabilité.
Mettez à jour mcp-markdownify-server vers la version corrigée (*). En attendant, appliquez des mesures d'atténuation comme la restriction d'accès et l'utilisation d'un WAF.
À ce jour, aucune exploitation active n'est confirmée, mais il est recommandé de prendre des mesures pour se protéger contre cette vulnérabilité.
Consultez le registre des vulnérabilités et les canaux de communication de la bibliothèque mcp-markdownify-server pour obtenir des informations officielles.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.