प्लेटफ़ॉर्म
nodejs
घटक
mcp-markdownify-server
में ठीक किया गया
0.0.2
mcp-markdownify-server में सर्वर-साइड रिक्वेस्ट फ़ॉरजरी (SSRF) भेद्यता पाई गई है। यह भेद्यता हमलावरों को MCP होस्ट द्वारा एक्सेस किए जाने वाले प्रॉम्प्ट के माध्यम से, attacker-controlled URLs पर अनुरोध करने और प्रतिक्रियाएँ पढ़ने की अनुमति देती है, जिससे संवेदनशील जानकारी लीक हो सकती है। यह भेद्यता mcp-markdownify-server के संस्करण 0.0.1 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, पैकेज को नवीनतम संस्करण में अपडेट करें।
यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं तक पहुंचने या संवेदनशील डेटा को उजागर करने की अनुमति दे सकती है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम है। हमलावर वेबपेज-टू-मार्कडाउन, बिंग-सर्च-टू-मार्कडाउन और यूट्यूब-टू-मार्कडाउन टूल का उपयोग करके आंतरिक संसाधनों तक पहुंच सकते हैं और डेटा लीक कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां mcp-markdownify-server का उपयोग संवेदनशील डेटा को संसाधित करने के लिए किया जाता है। एक हमलावर आंतरिक नेटवर्क में आगे बढ़ने के लिए इस भेद्यता का उपयोग कर सकता है, जिससे संभावित रूप से अधिक गंभीर सिस्टम से समझौता हो सकता है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी CVSS स्कोर 7.4 (HIGH) है, जो मध्यम जोखिम का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता के शोषण की संभावना को बढ़ाते हैं। 2025-05-29 को CVE प्रकाशित किया गया था। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना बनी हुई है।
Applications and services utilizing the mcp-markdownify-server package, particularly those deployed in environments with sensitive internal resources accessible via HTTP/HTTPS, are at risk. This includes development environments, testing servers, and production deployments where the package is used for markdown processing.
• nodejs: Monitor process execution for suspicious outbound HTTP requests originating from the mcp-markdownify-server process. Use ps aux | grep mcp-markdownify-server to identify running processes and netstat -an | grep mcp-markdownify-server to check connections.
ps aux | grep mcp-markdownify-server
netstat -an | grep mcp-markdownify-server• generic web: Check access logs for requests to unusual or unexpected URLs originating from the server hosting mcp-markdownify-server. Look for patterns indicative of SSRF attempts.
grep 'markdownify-server' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, mcp-markdownify-server को नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो SSRF हमलों को ब्लॉक कर सके। WAF को attacker-controlled URLs से आने वाले अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, MCP होस्ट के लिए नेटवर्क एक्सेस को सीमित करने पर विचार करें ताकि यह केवल आवश्यक संसाधनों तक ही पहुंच सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Markdownify.get() फ़ंक्शन के माध्यम से एक attacker-controlled URL पर अनुरोध करके सत्यापित करें कि कोई प्रतिक्रिया नहीं मिलती है।
mcp-markdownify-server पैकेज को नवीनतम उपलब्ध संस्करण में अपडेट करें। यह Markdownify.get() फ़ंक्शन में SSRF भेद्यता को ठीक कर देगा। अपडेट के बारे में अधिक जानकारी के लिए रिलीज़ नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-5276 mcp-markdownify-server में सर्वर-साइड रिक्वेस्ट फ़ॉरजरी (SSRF) भेद्यता है, जो हमलावरों को संवेदनशील जानकारी लीक करने की अनुमति देती है।
यदि आप mcp-markdownify-server के संस्करण 0.0.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
mcp-markdownify-server को नवीनतम संस्करण में अपडेट करें या WAF का उपयोग करें जो SSRF हमलों को ब्लॉक कर सके।
सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, शोषण की संभावना बनी हुई है।
आधिकारिक सलाहकार के लिए mcp-markdownify-server के रिपॉजिटरी या संबंधित सुरक्षा बुलेटिन की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।