HIGHCVE-2025-5276CVSS 7.4

Markdownify MCP सर्वर Markdownify.get() फ़ंक्शन के माध्यम से सर्वर-साइड रिक्वेस्ट फ़ॉर्जरी (SSRF) की अनुमति देता है

प्लेटफ़ॉर्म

nodejs

घटक

mcp-markdownify-server

में ठीक किया गया

0.0.2

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026

NVD पर देखें

सहेजें

mcp-markdownify-server में सर्वर-साइड रिक्वेस्ट फ़ॉरजरी (SSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को MCP होस्ट द्वारा एक्सेस किए जाने वाले प्रॉम्प्ट के माध्यम से, attacker-controlled URLs पर अनुरोध करने और प्रतिक्रियाएँ पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी लीक हो सकती है। यह भेद्यता mcp-markdownify-server के संस्करण 0.0.1 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, पैकेज को नवीनतम संस्करण में अपडेट करें।

प्रभाव और हमले की स्थितियाँ

यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं तक पहुंचने या संवेदनशील डेटा को उजागर करने की अनुमति दे सकती है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम है। हमलावर वेबपेज-टू-मार्कडाउन, बिंग-सर्च-टू-मार्कडाउन और यूट्यूब-टू-मार्कडाउन टूल का उपयोग करके आंतरिक संसाधनों तक पहुंच सकते हैं और डेटा लीक कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां mcp-markdownify-server का उपयोग संवेदनशील डेटा को संसाधित करने के लिए किया जाता है। एक हमलावर आंतरिक नेटवर्क में आगे बढ़ने के लिए इस भेद्यता का उपयोग कर सकता है, जिससे संभावित रूप से अधिक गंभीर सिस्टम से समझौता हो सकता है।

शोषण संदर्भ

यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी CVSS स्कोर 7.4 (HIGH) है, जो मध्यम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। 2025-05-29 को CVE प्रकाशित किया गया था। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना बनी हुई है।

कौन जोखिम में हैअनुवाद हो रहा है…

Applications and services utilizing the mcp-markdownify-server package, particularly those deployed in environments with sensitive internal resources accessible via HTTP/HTTPS, are at risk. This includes development environments, testing servers, and production deployments where the package is used for markdown processing.

पहचान के चरणअनुवाद हो रहा है…

• nodejs: Monitor process execution for suspicious outbound HTTP requests originating from the mcp-markdownify-server process. Use ps aux | grep mcp-markdownify-server to identify running processes and netstat -an | grep mcp-markdownify-server to check connections.

ps aux | grep mcp-markdownify-server
netstat -an | grep mcp-markdownify-server

• generic web: Check access logs for requests to unusual or unexpected URLs originating from the server hosting mcp-markdownify-server. Look for patterns indicative of SSRF attempts.

grep 'markdownify-server' /var/log/apache2/access.log

हमले की समयरेखा

2025-05-29Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

EPSS

0.06% (18% शतमक)

CISA SSVC

शोषणpoc

स्वचालनीयno

तकनीकी प्रभावpartial

CVSS वेक्टर

इन मेट्रिक्स का क्या मतलब है?

Attack Vector: नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity: निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required: कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction: आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope: बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality: उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity: कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability: कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकmcp-markdownify-server

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

0.0.0—

0.0.10.0.2

कमजोरी वर्गीकरण (CWE)

CWE-918

समयरेखा

आरक्षित2025-05-27
प्रकाशित2025-05-29
EPSS अद्यतन2026-03-23

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, mcp-markdownify-server को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो SSRF हमलों को ब्लॉक कर सके। WAF को attacker-controlled URLs से आने वाले अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, MCP होस्ट के लिए नेटवर्क एक्सेस को सीमित करने पर विचार करें ताकि यह केवल आवश्यक संसाधनों तक ही पहुंच सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Markdownify.get() फ़ंक्शन के माध्यम से एक attacker-controlled URL पर अनुरोध करके सत्यापित करें कि कोई प्रतिक्रिया नहीं मिलती है।

कैसे ठीक करें

mcp-markdownify-server पैकेज को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह Markdownify.get() फ़ंक्शन में SSRF भेद्यता को ठीक कर देगा। अपडेट के बारे में अधिक जानकारी के लिए रिलीज़ नोट्स देखें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-5276 — SSRF in mcp-markdownify-server क्या है?

CVE-2025-5276 mcp-markdownify-server में सर्वर-साइड रिक्वेस्ट फ़ॉरजरी (SSRF) भेद्यता है, जो हमलावरों को संवेदनशील जानकारी लीक करने की अनुमति देती है।

क्या मैं CVE-2025-5276 in mcp-markdownify-server से प्रभावित हूं?

यदि आप mcp-markdownify-server के संस्करण 0.0.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-5276 in mcp-markdownify-server को कैसे ठीक करूं?

mcp-markdownify-server को नवीनतम संस्करण में अपडेट करें या WAF का उपयोग करें जो SSRF हमलों को ब्लॉक कर सके।

क्या CVE-2025-5276 सक्रिय रूप से शोषण किया जा रहा है?

सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना बनी हुई है।

मैं mcp-markdownify-server के लिए आधिकारिक सलाहकार कहां पा सकता हूं?

आधिकारिक सलाहकार के लिए mcp-markdownify-server के रिपॉजिटरी या संबंधित सुरक्षा बुलेटिन की जाँच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें