Plateforme
nodejs
Composant
atototo-api-lab-mcp
Corrigé dans
0.2.1
0.2.2
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans atototo api-lab-mcp, affectant les versions 0.2.0 et 0.2.1. Cette faille permet à un attaquant de manipuler l'URL source, ce qui peut entraîner des requêtes non autorisées vers des ressources internes ou externes. Un Proof of Concept (POC) est déjà disponible publiquement, augmentant le risque d'exploitation. Une solution de mise à jour est recommandée, mais le projet n'a pas encore répondu au signalement.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de lancer des requêtes arbitraires depuis le serveur, en se faisant passer pour lui. Cela peut conduire à la divulgation d'informations sensibles, à l'accès à des ressources internes non exposées publiquement, ou même à l'exécution de commandes sur des systèmes vulnérables si des services internes sont mal configurés. Le fait qu'un POC soit disponible publiquement rend l'exploitation plus accessible et augmente le risque d'attaques automatisées. Cette vulnérabilité pourrait être exploitée pour scanner le réseau interne à la recherche de services vulnérables, ou pour contourner les contrôles d'accès.
Cette vulnérabilité est publique depuis le 2026-04-09. La disponibilité d'un Proof of Concept (POC) indique une probabilité d'exploitation élevée (EPSS score probablement élevé). Il n'y a pas d'indications d'une campagne d'exploitation active à ce jour, mais la publication du POC augmente considérablement ce risque. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité malveillante.
Organizations deploying atototo api-lab-mcp in production environments, particularly those with sensitive internal resources accessible via HTTP, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users.
• nodejs: Use npm audit to check for vulnerabilities in dependencies.
npm audit• nodejs: Monitor process network connections for suspicious outbound requests using netstat or ss.
ss -t tcp -4 state established dst :80,443• generic web: Examine access logs for requests containing unusual or unexpected URLs. Look for patterns indicative of SSRF attempts.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
En attendant une mise à jour officielle du projet atototo api-lab-mcp, plusieurs mesures de mitigation peuvent être prises. Il est fortement recommandé de désactiver temporairement la fonctionnalité concernée (analyzeapispec/generatetestscenarios/testhttpendpoint) si possible. L'implémentation d'un Web Application Firewall (WAF) avec des règles spécifiques pour bloquer les requêtes SSRF peut également aider à atténuer le risque. Une validation stricte de l'URL source, en utilisant une liste blanche de domaines autorisés, est également une bonne pratique. Enfin, surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, notamment des requêtes vers des adresses IP ou des domaines inattendus.
Mettez à jour vers une version corrigée de atototo api-lab-mcp. La vulnérabilité se trouve dans la manipulation de l'argument 'source/url' qui permet la falsification de requêtes côté serveur (Server-Side Request Forgery - SSRF). Vérifiez les sources officielles du projet pour obtenir des informations sur les mises à jour disponibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-5832 is a server-side request forgery vulnerability in atototo api-lab-mcp versions 0.2.0–0.2.1, allowing attackers to manipulate URLs and potentially access internal resources.
If you are using atototo api-lab-mcp versions 0.2.0 or 0.2.1, you are potentially affected by this SSRF vulnerability.
A patch is not yet available. Mitigate by restricting outbound network access, using a WAF, and validating user input.
Yes, a public exploit is available, indicating a high probability of active exploitation.
Check the atototo api-lab-mcp project's repository or website for updates and advisories related to CVE-2026-5832.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.