priyankark a11y-mcp index.js A11yServer falsification de requête côté serveur

Une vulnérabilité a été trouvée dans priyankark a11y-mcp jusqu'à la version 1.0.5. Cette vulnérabilité affecte la fonction A11yServer du fichier src/index.js. La manipulation entraîne une falsification de requête côté serveur (server-side request forgery). L'attaque doit être lancée à partir d'une position locale. L'exploit a été rendu public et pourrait être utilisé. Ce produit fonctionne sur une base de publication continue, assurant une livraison continue. Par conséquent, il n'y a pas de détails de version pour les versions affectées ou mises à jour. La mise à niveau vers la version 1.0.6 peut résoudre ce problème. Le correctif est identifié comme e3e11c9e8482bd06b82fd9fced67be4856f0dffc. Il est recommandé de mettre à niveau le composant affecté. Le fournisseur a reconnu le problème, mais fournit un contexte supplémentaire pour l'évaluation CVSS : « a11y-mcp est un serveur MCP stdio local - il n'a pas de point de terminaison HTTP et n'est pas accessible via le réseau. L'appelant est toujours l'utilisateur local ou un LLM agissant en son nom avec l'approbation de l'utilisateur. »