प्लेटफ़ॉर्म
nodejs
घटक
atototo-api-lab-mcp
में ठीक किया गया
0.2.1
0.2.2
atototo api-lab-mcp के संस्करण 0.2.0 से 0.2.1 तक एक गंभीर भेद्यता पाई गई है, जो सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) का कारण बनती है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता src/mcp/http-server.ts फ़ाइल में analyzeapispec/generatetestscenarios/testhttpendpoint फ़ंक्शन में URL तर्क के हेरफेर के कारण है। सार्वजनिक रूप से शोषण उपलब्ध है।
यह SSRF भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है जो सामान्य रूप से बाहरी दुनिया से दुर्गम हैं। हमलावर संवेदनशील डेटा तक पहुँच सकते हैं, आंतरिक सेवाओं के साथ इंटरैक्ट कर सकते हैं, या यहां तक कि आंतरिक प्रणालियों पर हमला करने के लिए इस भेद्यता का उपयोग कर सकते हैं। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इसका शोषण किया जाना बहुत संभव है। इस भेद्यता का उपयोग आंतरिक सेवाओं को उजागर करने, संवेदनशील जानकारी चुराने या आंतरिक प्रणालियों को नियंत्रित करने के लिए किया जा सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और शोषण उपलब्ध है, जिससे इसका शोषण होने की संभावना बढ़ जाती है। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक शोषण की उपलब्धता के कारण इसे निगरानी में रखना महत्वपूर्ण है। भेद्यता की रिपोर्टिंग के बाद से, परियोजना ने अभी तक प्रतिक्रिया नहीं दी है, जिससे जोखिम बढ़ गया है।
Organizations deploying atototo api-lab-mcp in production environments, particularly those with sensitive internal resources accessible via HTTP, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users.
• nodejs: Use npm audit to check for vulnerabilities in dependencies.
npm audit• nodejs: Monitor process network connections for suspicious outbound requests using netstat or ss.
ss -t tcp -4 state established dst :80,443• generic web: Examine access logs for requests containing unusual or unexpected URLs. Look for patterns indicative of SSRF attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि अभी तक कोई आधिकारिक पैच उपलब्ध नहीं है, इसलिए तत्काल सुरक्षा उपायों को लागू करना महत्वपूर्ण है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को कम किया जा सकता है, जो दुर्भावनापूर्ण अनुरोधों को फ़िल्टर कर सकता है। URL सत्यापन और इनपुट सैनिटाइजेशन को लागू करना भी महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि URL वैध हैं और आंतरिक संसाधनों तक पहुँचने का प्रयास नहीं कर रहे हैं। आंतरिक सेवाओं को बाहरी दुनिया से दुर्गम रखने के लिए नेटवर्क विभाजन का उपयोग करें।
atototo (api-lab-mcp) के एक ठीक किए गए संस्करण में अपडेट करें। भेद्यता 'source/url' तर्क के हेरफेर में है, जो सर्वर-साइड रिक्वेस्ट फोर्जिंग की अनुमति देता है। उपलब्ध अपडेट के बारे में जानकारी के लिए परियोजना के आधिकारिक स्रोतों की जांच करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-5832 atototo api-lab-mcp के संस्करण 0.2.0–0.2.1 में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप atototo api-lab-mcp के संस्करण 0.2.0 या 0.2.1 का उपयोग कर रहे हैं, तो आप इस SSRF भेद्यता से प्रभावित हैं।
अभी तक कोई आधिकारिक पैच उपलब्ध नहीं है, इसलिए WAF का उपयोग करें, URL सत्यापन लागू करें और आंतरिक सेवाओं को सुरक्षित रखें।
सार्वजनिक शोषण उपलब्ध होने के कारण, CVE-2026-5832 का सक्रिय रूप से शोषण होने की संभावना है।
atototo परियोजना ने अभी तक आधिकारिक advisory जारी नहीं किया है, लेकिन भेद्यता की रिपोर्टिंग के लिए उनके GitHub रिपॉजिटरी की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।