प्लेटफ़ॉर्म
nodejs
घटक
a11y-mcp
में ठीक किया गया
1.0.1
1.0.2
1.0.3
1.0.4
1.0.5
1.0.6
1.0.5
CVE-2026-5323, priyankark के a11y-mcp में पाई गई एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। इस भेद्यता का फायदा उठाकर, एक स्थानीय हमलावर सर्वर से अनपेक्षित अनुरोध कर सकता है। यह भेद्यता संस्करण 1.0.0 से 1.0.5 तक के a11y-mcp को प्रभावित करती है। इस समस्या को संस्करण 1.0.6 में ठीक कर दिया गया है।
priyankark द्वारा विकसित a11y-mcp लाइब्रेरी में, संस्करण 1.0.5 तक के एक भेद्यता की पहचान की गई है। यह भेद्यता फ़ाइल src/index.js में A11yServer फ़ंक्शन में मौजूद है। एक स्थानीय हमलावर इस फ़ंक्शन में हेरफेर करके आंतरिक या बाहरी संसाधनों के लिए अनुरोध भेज सकता है, जिससे संभावित रूप से सिस्टम सुरक्षा से समझौता हो सकता है। भेद्यता का सार्वजनिक प्रकटीकरण शोषण के जोखिम को बढ़ाता है, खासकर इस तथ्य को देखते हुए कि उत्पाद एक रोलिंग रिलीज़ मॉडल पर संचालित होता है, जिससे प्रभावित विशिष्ट संस्करणों और अपडेट किए गए संस्करणों की पहचान करना मुश्किल हो जाता है। भेद्यता की गंभीरता को CVSS 5.3 के रूप में रेट किया गया है, जो मध्यम जोखिम को दर्शाता है।
a11y-mcp में SSRF भेद्यता का शोषण करने के लिए, हमलावर को स्थानीय स्थिति में होना आवश्यक है। इसका मतलब है कि हमलावर को उसी नेटवर्क या वातावरण तक पहुंच होनी चाहिए जहां वह लाइब्रेरी चलाने वाले सर्वर के साथ सीधे बातचीत कर सकता है। शोषण में A11yServer फ़ंक्शन में हेरफेर करना शामिल है ताकि अवांछित संसाधनों के लिए अनुरोध भेजे जा सकें। भेद्यता का सार्वजनिक प्रकटीकरण शोषण कार्यक्रमों के निर्माण को सरल बनाता है और लक्षित हमलों की संभावना को बढ़ाता है। उत्पाद द्वारा रोलिंग रिलीज़ मॉडल का उपयोग पैच और अपडेट प्रबंधन को जटिल बनाता है, जिससे भेद्यता के संपर्क की अवधि बढ़ सकती है।
Organizations deploying a11y-mcp in environments where local network access is possible are at risk. This includes development environments, internal testing systems, and production deployments where the application interacts with internal services. Shared hosting environments utilizing this package are also potentially vulnerable.
• nodejs / server:
npm list a11y-mcpIf the output shows a version less than 1.0.6, the system is vulnerable. • nodejs / server:
npm audit a11y-mcpThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect network traffic for unusual outbound requests originating from the application server. Look for requests to internal services or resources that the application should not be accessing.
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए प्राथमिक शमन a11y-mcp लाइब्रेरी को संस्करण 1.0.6 या उच्चतर में अपग्रेड करना है। रोलिंग रिलीज़ मॉडल के कारण, विशिष्ट प्रभावित या अपडेट किए गए संस्करण सूचीबद्ध नहीं हैं। लाइब्रेरी अपडेट की निगरानी करना और उपलब्ध होने पर तुरंत अपडेट लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, A11yServer द्वारा किए गए अनुरोधों के लिए अनुमत डोमेन की श्वेतसूची लागू करने सहित अतिरिक्त सुरक्षा नियंत्रणों को लागू करने की सिफारिश की जाती है, ताकि SSRF शोषण के संभावित दायरे को सीमित किया जा सके। अनुरोध हैंडलिंग में संभावित कमजोरियों की पहचान करने और उन्हें ठीक करने के लिए कोड समीक्षा करना भी एक अनुशंसित अभ्यास है।
Actualice el paquete a11y-mcp a la versión 1.0.6 o superior. Esto corrige la vulnerabilidad de Server-Side Request Forgery (SSRF) en la función A11yServer del archivo src/index.js.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (Server-Side Request Forgery) एक भेद्यता है जो एक हमलावर को सर्वर को बाहरी रूप से सामान्य रूप से दुर्गम संसाधनों के लिए अनुरोध भेजने के लिए मजबूर करने की अनुमति देती है।
संस्करण 1.0.6 में पहले के संस्करणों में पहचाने गए SSRF भेद्यता के लिए सुधार शामिल है।
रोलिंग रिलीज़ मॉडल के कारण, प्रत्यक्ष संस्करण जांच अधिक जटिल है। अपडेट की निगरानी करने और उपलब्ध होने पर संस्करण 1.0.6 या उच्चतर को तुरंत लागू करने की सिफारिश की जाती है।
अनुमत डोमेन की श्वेतसूची लागू करें, स्रोत कोड की समीक्षा करें और शोषण के जोखिम को कम करने के लिए अतिरिक्त सुरक्षा नियंत्रण लागू करें।
हां, इस भेद्यता का सार्वजनिक रूप से प्रकटीकरण किया गया है, जिससे शोषण का जोखिम बढ़ गया है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।