प्लेटफ़ॉर्म
nodejs
घटक
mcp-browser-agent
में ठीक किया गया
0.1.1
0.2.1
0.3.1
0.4.1
0.5.1
0.6.1
0.7.1
0.8.1
CVE-2026-5607 imprvhub mcp-browser-agent में एक सुरक्षा भेद्यता है, विशेष रूप से URL पैरामीटर हैंडलर के CallToolRequestSchema फ़ंक्शन में। इस भेद्यता का शोषण करने से सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) हो सकती है, जिससे हमलावर अनधिकृत अनुरोध कर सकते हैं। यह भेद्यता imprvhub mcp-browser-agent के संस्करण 0.1.0 से 0.8.0 तक के संस्करणों को प्रभावित करती है। अभी तक कोई आधिकारिक पैच जारी नहीं किया गया है।
imprvhub mcp-browser-agent के संस्करण 0.8.0 और उससे पहले में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता का पता चला है। यह भेद्यता फ़ाइल src/handlers.ts में CallToolRequestSchema फ़ंक्शन के भीतर स्थित है, विशेष रूप से URL पैरामीटर हैंडलर के भीतर। एक हमलावर request.params.name या request.params.arguments तर्कों में हेरफेर करके सर्वर को अनपेक्षित आंतरिक या बाहरी संसाधनों के लिए अनुरोध करने के लिए मजबूर कर सकता है। SSRF की प्रकृति हमलावरों को संभावित रूप से संवेदनशील डेटा तक पहुंचने, सर्वर की ओर से कार्रवाई करने या आंतरिक नेटवर्क के भीतर अन्य सिस्टम को समझौता करने की अनुमति देती है। इस भेद्यता का सार्वजनिक खुलासा और विक्रेता की प्रतिक्रिया की कमी, शोषण के जोखिम को काफी बढ़ा देती है।
mcp-browser-agent में SSRF भेद्यता का उपयोग दूरस्थ रूप से किया जा सकता है, जिसका अर्थ है कि हमलावर को प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। भेद्यता का सार्वजनिक खुलासा शोषण को और सुविधाजनक बनाता है, क्योंकि हमलावर मौजूदा शोषणों को ढूंढ और अनुकूलित कर सकते हैं। विक्रेता की प्रतिक्रिया की कमी स्थिति को बढ़ा देती है, क्योंकि कोई आधिकारिक समाधान उपलब्ध नहीं है। हमलावर इस भेद्यता का उपयोग आंतरिक नेटवर्क को उजागर सेवाओं के लिए स्कैन करने, आंतरिक संसाधनों में संग्रहीत गोपनीय डेटा तक पहुंचने या नेटवर्क के भीतर अन्य सिस्टम पर हमले शुरू करने के लिए कर सकते हैं। भेद्यता की गंभीरता इसकी आसानी से शोषण और आधिकारिक शमन की कमी से बढ़ जाती है।
Organizations utilizing mcp-browser-agent versions 0.1.0 through 0.8.0, particularly those deploying it in environments with sensitive internal resources, are at significant risk. Shared hosting environments where the component is deployed without proper isolation could also be vulnerable.
• nodejs / server:
grep -r 'request.params.name' ./src/handlers.ts
grep -r 'request.params.arguments' ./src/handlers.ts• generic web:
curl -I <target_url>/<malicious_url>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता ने CVE-2026-5607 के लिए कोई फिक्स प्रदान नहीं किया है, इसलिए तत्काल शमन में imprvhub mcp-browser-agent के संस्करण 0.8.0 या उससे पहले के उपयोग से बचना शामिल है। यदि इस टूल का उपयोग करना आवश्यक है, तो दुर्भावनापूर्ण SSRF अनुरोधों का पता लगाने और ब्लॉक करने में सक्षम वेब एप्लिकेशन फ़ायरवॉल (WAF) जैसे अतिरिक्त सुरक्षा नियंत्रणों को लागू करने की अनुशंसा की जाती है। इसके अलावा, आंतरिक और बाहरी संसाधनों तक पहुंच को सीमित करने के लिए सर्वर कॉन्फ़िगरेशन की समीक्षा और मजबूत करना चाहिए। असामान्य ट्रैफ़िक पैटर्न के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करने से संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद मिल सकती है। आधिकारिक पैच जारी होने तक इस टूल के लिए एक विकल्प खोजने की दृढ़ता से अनुशंसा की जाती है।
Actualice a una versión corregida de imprvhub mcp-browser-agent. La vulnerabilidad se encuentra en el manejo de parámetros de URL, específicamente en la función CallToolRequestSchema. Revise y fortalezca la validación de entrada para prevenir ataques de falsificación de solicitud del lado del servidor (SSRF).
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
SSRF (सर्वर-साइड रिक्वेस्ट फोर्जरी) एक भेद्यता है जो एक हमलावर को सर्वर को उन संसाधनों के लिए अनुरोध करने के लिए मजबूर करने की अनुमति देती है जिन तक सर्वर को सामान्य रूप से पहुंच नहीं होनी चाहिए।
यह आंतरिक संसाधनों तक पहुंच, अनधिकृत क्रियाओं और अन्य सिस्टम के संभावित समझौते की अनुमति देता है।
तुरंत इसका उपयोग बंद कर दें और एक विकल्प खोजें या विक्रेता से फिक्स का इंतजार करें।
हां, विक्रेता से संपर्क किया गया है, लेकिन कोई प्रतिक्रिया नहीं मिली है।
WAF जैसे अतिरिक्त सुरक्षा नियंत्रण लागू करें और सर्वर कॉन्फ़िगरेशन को मजबूत करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।