Plateforme
nodejs
Composant
a11y-mcp
Corrigé dans
1.0.1
1.0.2
1.0.3
1.0.4
1.0.5
1.0.6
1.0.5
CVE-2026-5323 est une vulnérabilité de type Server-Side Request Forgery (SSRF) affectant la fonction A11yServer dans priyankark a11y-mcp. Cette faille permet à un attaquant local d'initier des requêtes non autorisées depuis le serveur, potentiellement compromettant la sécurité des données et des systèmes internes. Les versions affectées sont les versions 1.0.0 à 1.0.5. La version 1.0.6 corrige cette vulnérabilité.
Une vulnérabilité de falsification de requête côté serveur (SSRF) a été identifiée dans la bibliothèque a11y-mcp développée par priyankark, affectant les versions jusqu'à la 1.0.5. Cette vulnérabilité réside dans la fonction A11yServer du fichier src/index.js. Un attaquant, situé dans une position locale, peut manipuler cette fonction pour effectuer des requêtes vers des ressources internes ou externes, compromettant potentiellement la sécurité du système. La divulgation publique de la vulnérabilité augmente le risque d'exploitation, en particulier compte tenu du fait que le produit fonctionne selon un modèle de publication continue, ce qui rend difficile l'identification précise des versions affectées et mises à jour. La gravité de la vulnérabilité est classée CVSS 5.3, indiquant un risque modéré.
La vulnérabilité SSRF dans a11y-mcp nécessite que l'attaquant se trouve dans une position locale pour l'exploiter. Cela signifie que l'attaquant doit avoir accès au même réseau ou à un environnement où il peut interagir directement avec le serveur exécutant la bibliothèque. L'exploitation consiste à manipuler la fonction A11yServer pour qu'elle effectue des requêtes vers des ressources non souhaitées. La divulgation publique de la vulnérabilité facilite la création d'exploits et augmente la probabilité d'attaques ciblées. Le fait que le produit utilise un modèle de publication continue complique la gestion des correctifs et des mises à jour, ce qui pourrait prolonger la période d'exposition à la vulnérabilité.
Organizations deploying a11y-mcp in environments where local network access is possible are at risk. This includes development environments, internal testing systems, and production deployments where the application interacts with internal services. Shared hosting environments utilizing this package are also potentially vulnerable.
• nodejs / server:
npm list a11y-mcpIf the output shows a version less than 1.0.6, the system is vulnerable. • nodejs / server:
npm audit a11y-mcpThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect network traffic for unusual outbound requests originating from the application server. Look for requests to internal services or resources that the application should not be accessing.
disclosure
patch
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
L'atténuation principale de cette vulnérabilité consiste à mettre à niveau la bibliothèque a11y-mcp vers la version 1.0.6 ou supérieure. En raison du modèle de publication continue, les versions spécifiques affectées ou mises à jour ne sont pas répertoriées. Il est recommandé de surveiller les mises à jour de la bibliothèque et d'appliquer la mise à niveau dès qu'elle est disponible. De plus, il est conseillé de mettre en œuvre des contrôles de sécurité supplémentaires, tels que des listes blanches de domaines autorisés pour les requêtes effectuées par A11yServer, afin de limiter la portée potentielle de l'exploitation de SSRF. L'examen du code source pour identifier et corriger les points faibles potentiels dans la gestion des requêtes est également une pratique recommandée.
Actualice el paquete a11y-mcp a la versión 1.0.6 o superior. Esto corrige la vulnerabilidad de Server-Side Request Forgery (SSRF) en la función A11yServer del archivo src/index.js.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
SSRF (Server-Side Request Forgery) est une vulnérabilité qui permet à un attaquant de forcer un serveur à effectuer des requêtes vers des ressources qui ne sont normalement pas accessibles depuis l'extérieur.
La version 1.0.6 contient la correction pour la vulnérabilité SSRF identifiée dans les versions précédentes.
En raison du modèle de publication continue, la vérification directe de la version est plus complexe. Il est recommandé de surveiller les mises à jour et d'appliquer la version 1.0.6 ou supérieure dès qu'elle est disponible.
Mettez en œuvre des listes blanches de domaines autorisés, examinez le code source et appliquez des contrôles de sécurité supplémentaires pour atténuer le risque d'exploitation.
Oui, la vulnérabilité a été divulguée publiquement, ce qui augmente le risque d'exploitation.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.