प्लेटफ़ॉर्म
azure
घटक
azure-mcp-server-tools
में ठीक किया गया
1.0.2
2.0.0-beta.17
CVE-2026-26118 Azure MCP Server Tools में एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता एक अधिकृत हमलावर को नेटवर्क पर विशेषाधिकार बढ़ाने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है। यह भेद्यता Azure MCP Server Tools के संस्करण 1.0.0 से 2.0.0-beta.17 तक के संस्करणों को प्रभावित करती है। संस्करण 2.0.0-beta.17 में इस समस्या का समाधान किया गया है।
SSRF भेद्यता का शोषण करने वाला हमलावर आंतरिक सेवाओं और संसाधनों तक पहुंच प्राप्त कर सकता है जो आम तौर पर बाहरी नेटवर्क से दुर्गम होते हैं। वे संवेदनशील डेटा जैसे क्रेडेंशियल, कॉन्फ़िगरेशन फ़ाइलें या अन्य गोपनीय जानकारी तक पहुंच प्राप्त कर सकते हैं। हमलावर अन्य आंतरिक प्रणालियों पर हमला करने के लिए SSRF का उपयोग कर सकते हैं, जिससे संभावित रूप से नेटवर्क में आगे की उन्नति हो सकती है। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम समझौता या सेवा से इनकार (DoS) हमलों के लिए किया जा सकता है। Azure MCP Server Tools के भीतर विशेषाधिकारों को बढ़ाने की क्षमता के कारण, इस भेद्यता का प्रभाव काफी अधिक हो सकता है।
CVE-2026-26118 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं, लेकिन SSRF भेद्यताओं को अक्सर शोषण किया जाता है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल होने की संभावना है, क्योंकि SSRF भेद्यताओं का शोषण करना अपेक्षाकृत आसान है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का शोषण करना आसान बना सकते हैं। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस CVE के लिए अलर्ट जारी किए हैं।
Organizations heavily reliant on Azure MCP Server Tools for management and automation are at significant risk. Specifically, environments with less stringent network segmentation and those using older, unpatched versions of the tool are particularly vulnerable. Shared hosting environments utilizing Azure MCP Server Tools should also be considered at higher risk due to the potential for cross-tenant exploitation.
• azure / server:
# Check for vulnerable versions of Azure MCP Server Tools
Get-AzVM | Where-Object {$_.Extensions | Where-Object {$_.Name -eq 'VMAzMCP'}}.Version -like '1.0.0-2.0.0-beta.17'• generic web:
# Check for unusual outbound requests in access logs
grep -i -E 'https?://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}:[0-9]+' /var/log/nginx/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-26118 को कम करने के लिए, Azure MCP Server Tools को संस्करण 2.0.0-beta.17 में अपग्रेड करना आवश्यक है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप नेटवर्क फ़ायरवॉल नियमों को लागू करके आंतरिक सेवाओं तक पहुंच को सीमित कर सकते हैं। इसके अतिरिक्त, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो SSRF हमलों का पता लगाता है और उन्हें अवरुद्ध करता है। सुनिश्चित करें कि Azure MCP Server Tools के लिए सभी इनपुट मान्य हैं और किसी भी अप्रत्याशित अनुरोध को फ़िल्टर किया गया है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक सेवाओं तक अनधिकृत पहुंच का परीक्षण करके और यह सुनिश्चित करके कि SSRF अनुरोध अवरुद्ध हैं।
Azure MCP Server Tools पैकेज को संस्करण 1.0.2 या उच्चतर, या संस्करण 2.0.0-beta.17 या उच्चतर में अपडेट करें ताकि सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता को कम किया जा सके। यह अपडेट आने वाले अनुरोधों को सही ढंग से मान्य करके समस्या को ठीक करता है, जिससे विशेषाधिकार वृद्धि को रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26118 Azure MCP Server Tools में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को नेटवर्क पर विशेषाधिकार बढ़ाने की अनुमति देती है।
यदि आप Azure MCP Server Tools के संस्करण 1.0.0–2.0.0-beta.17 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Azure MCP Server Tools को संस्करण 2.0.0-beta.17 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो नेटवर्क फ़ायरवॉल नियमों को लागू करें और एक WAF का उपयोग करें।
CVE-2026-26118 के सक्रिय शोषण के कोई ज्ञात प्रमाण नहीं हैं, लेकिन SSRF भेद्यताओं को अक्सर शोषण किया जाता है।
कृपया Microsoft सुरक्षा सलाहकार देखें: [Microsoft Security Response Center](https://msrc.microsoft.com/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।