Plateforme
nodejs
Composant
mcp-from-openapi
Corrigé dans
1.0.5
1.0.5
1.0.5
2.3.1
2.3.0
La vulnérabilité CVE-2026-39885 concerne une faille de type Server-Side Request Forgery (SSRF) présente dans la bibliothèque mcp-from-openapi. Cette faille permet à un attaquant d'exploiter des spécifications OpenAPI malveillantes pour accéder à des ressources internes, des fichiers locaux ou des métadonnées cloud. Elle affecte les versions de la bibliothèque inférieures ou égales à 2.1.2 et a été corrigée dans la version 2.3.0.
L'exploitation de cette vulnérabilité SSRF permet à un attaquant de lancer des requêtes HTTP à partir du serveur, en utilisant l'application comme intermédiaire. Cela peut conduire à la lecture de fichiers sensibles sur le système de fichiers local, à l'accès à des métadonnées de services cloud (comme les informations d'identification AWS ou Azure), ou à l'interaction avec des services internes non exposés publiquement. Un attaquant pourrait ainsi compromettre la confidentialité et l'intégrité des données, voire prendre le contrôle de ressources internes. La surface d'attaque est large, car toute application utilisant mcp-from-openapi pour traiter des spécifications OpenAPI non fiables est potentiellement vulnérable.
Cette vulnérabilité a été rendue publique le 8 avril 2026. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable. La présence de spécifications OpenAPI non fiables dans les environnements de développement ou de production augmente le risque. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles preuves d'exploitation.
Applications built with Node.js that utilize the mcp-from-openapi library to process untrusted OpenAPI specifications are at risk. This includes microservice architectures, API gateways, and any system where OpenAPI specifications are dynamically generated or received from external sources. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromised application could potentially impact others.
• nodejs / supply-chain:
npm list mcp-from-openapi
npm audit mcp-from-openapi• generic web:
curl -I <application_endpoint_processing_openapi_specs>
# Look for unexpected outbound requests in the response headers or bodydisclosure
patch
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque mcp-from-openapi vers la version 2.3.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à valider et à nettoyer rigoureusement toutes les spécifications OpenAPI avant de les traiter. Il est également recommandé de configurer des restrictions d'URL et des résolveurs personnalisés pour empêcher la bibliothèque de faire des requêtes vers des adresses non autorisées. L'utilisation d'un proxy inverse ou d'un WAF peut également aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez que la bibliothèque est bien à jour et que les spécifications OpenAPI sont validées avant traitement.
Mettez à jour vers la version 2.3.0 ou supérieure de FrontMCP pour atténuer la vulnérabilité SSRF. Cette version corrige le problème en restreignant les URL qui peuvent être accédées pendant le processus d'initialisation des spécifications OpenAPI.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39885 is a Server-Side Request Forgery (SSRF) vulnerability in the mcp-from-openapi Node.js library, allowing attackers to access internal resources through malicious OpenAPI specifications.
You are affected if you are using mcp-from-openapi versions 2.1.2 or earlier and process untrusted OpenAPI specifications.
Upgrade to version 2.3.0 or later of the mcp-from-openapi library. Alternatively, implement URL restrictions or sanitize OpenAPI specifications.
While no active exploitation has been confirmed, the vulnerability is relatively straightforward to exploit, increasing the risk of future exploitation.
Refer to the mcp-from-openapi project's release notes and security advisories on their GitHub repository for official information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.