प्लेटफ़ॉर्म
nodejs
घटक
mcp-from-openapi
में ठीक किया गया
1.0.5
1.0.5
1.0.5
2.3.1
2.3.0
CVE-2026-39885 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो mcp-from-openapi Node.js लाइब्रेरी में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत रूप से आंतरिक संसाधनों तक पहुंचने या स्थानीय फ़ाइलों को पढ़ने की अनुमति दे सकती है। यह भेद्यता लाइब्रेरी के संस्करणों <= 2.1.2 को प्रभावित करती है, और इसे संस्करण 2.3.0 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों के लिए गंभीर जोखिम पैदा करती है। वे आंतरिक नेटवर्क सेवाओं तक पहुंचने, संवेदनशील डेटा चोरी करने या यहां तक कि सिस्टम पर नियंत्रण हासिल करने के लिए इसका उपयोग कर सकते हैं। हमलावर क्लाउड मेटाडेटा एंडपॉइंट्स या स्थानीय फ़ाइलों को लक्षित कर सकते हैं, जिससे डेटा का उल्लंघन या सिस्टम का समझौता हो सकता है। चूंकि लाइब्रेरी का उपयोग विभिन्न अनुप्रयोगों में किया जा सकता है, इसलिए इस भेद्यता का प्रभाव व्यापक हो सकता है। यह भेद्यता OpenAPI विनिर्देशों को संसाधित करते समय विशेष रूप से खतरनाक है, क्योंकि हमलावर दुर्भावनापूर्ण विनिर्देशों को इंजेक्ट कर सकते हैं जो SSRF हमलों को ट्रिगर करते हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन सार्वजनिक रूप से उपलब्ध है। यह Node.js वातावरण में अनुप्रयोगों को लक्षित करता है जो mcp-from-openapi लाइब्रेरी का उपयोग करते हैं। CVE को 2026-04-08 को प्रकाशित किया गया था। EPSS स्कोर अभी तक उपलब्ध नहीं है।
Applications built with Node.js that utilize the mcp-from-openapi library to process untrusted OpenAPI specifications are at risk. This includes microservice architectures, API gateways, and any system where OpenAPI specifications are dynamically generated or received from external sources. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable, as a compromised application could potentially impact others.
• nodejs / supply-chain:
npm list mcp-from-openapi
npm audit mcp-from-openapi• generic web:
curl -I <application_endpoint_processing_openapi_specs>
# Look for unexpected outbound requests in the response headers or bodydisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, mcp-from-openapi लाइब्रेरी को संस्करण 2.3.0 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं जो SSRF हमलों को ब्लॉक करता है। इसके अतिरिक्त, आप OpenAPI विनिर्देशों को संसाधित करने से पहले उन्हें मान्य कर सकते हैं ताकि यह सुनिश्चित हो सके कि उनमें दुर्भावनापूर्ण $ref मान नहीं हैं। यह सुनिश्चित करें कि आपके सर्वर पर कोई अनावश्यक आंतरिक सेवाएं उजागर नहीं हैं। अपग्रेड के बाद, यह सत्यापित करें कि लाइब्रेरी ठीक से काम कर रही है और SSRF हमलों के प्रति संवेदनशील नहीं है।
FrontMCP के संस्करण 2.3.0 या उससे ऊपर के संस्करण में अपडेट करें ताकि SSRF (SSRF) भेद्यता को कम किया जा सके। यह संस्करण OpenAPI विशिष्टताओं के आरंभीकरण प्रक्रिया के दौरान एक्सेस किए जा सकने वाले URL को प्रतिबंधित करके समस्या को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-39885 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो mcp-from-openapi लाइब्रेरी में पाई गई है, जिससे हमलावर आंतरिक संसाधनों तक पहुंच सकते हैं।
यदि आप mcp-from-openapi लाइब्रेरी के संस्करण <= 2.1.2 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
लाइब्रेरी को संस्करण 2.3.0 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या OpenAPI विनिर्देशों को मान्य करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता सार्वजनिक रूप से उपलब्ध है।
आधिकारिक सलाहकार के लिए mcp-from-openapi प्रोजेक्ट के GitHub रिपॉजिटरी या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।