MEDIUMCVE-2026-5323CVSS 5.3

priyankark a11y-mcp index.js A11yServer サーバーサイドリクエストフォージェリ

プラットフォーム

nodejs

コンポーネント

a11y-mcp

修正版

1.0.1

1.0.2

1.0.3

1.0.4

1.0.5

1.0.6

1.0.5

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5323は、priyankarkのa11y-mcp 1.0.5までに存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性は、ローカルからの攻撃によって、サーバー側のリクエストを偽装される可能性があります。影響を受けるバージョンは1.0.0から1.0.5です。バージョン1.0.6で修正されています。

影響と攻撃シナリオ

priyankarkが開発したa11y-mcpライブラリにおいて、バージョン1.0.5までの脆弱性が発見されました。この脆弱性は、ファイルsrc/index.js内のA11yServer関数に存在します。ローカル環境にいる攻撃者がこの関数を操作することで、内部または外部のリソースへのリクエストを送信し、システムセキュリティを侵害する可能性があります。この脆弱性の公開により、悪用されるリスクが高まります。特に、製品が継続的なリリースモデルで動作しているため、影響を受ける特定のバージョンと更新されたバージョンを特定することが困難です。この脆弱性の深刻度はCVSS 5.3と評価されており、中程度のリスクを示しています。

悪用の状況

a11y-mcpのSSRF脆弱性を悪用するには、攻撃者がローカル環境にいる必要があります。これは、攻撃者がライブラリを実行しているサーバーと直接やり取りできる同じネットワークまたは環境にアクセスしている必要があることを意味します。悪用は、A11yServer関数を操作して、望ましくないリソースへのリクエストを送信することを含みます。この脆弱性の公開により、エクスプロイトの作成が容易になり、標的型攻撃の可能性が高まります。製品が継続的なリリースモデルを使用しているため、パッチとアップデートの管理が複雑になり、脆弱性への曝露期間が長くなる可能性があります。

リスク対象者翻訳中…

Organizations deploying a11y-mcp in environments where local network access is possible are at risk. This includes development environments, internal testing systems, and production deployments where the application interacts with internal services. Shared hosting environments utilizing this package are also potentially vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list a11y-mcp

If the output shows a version less than 1.0.6, the system is vulnerable. • nodejs / server:

  npm audit a11y-mcp

This command will identify the vulnerability and suggest an upgrade. • generic web: Inspect network traffic for unusual outbound requests originating from the application server. Look for requests to internal services or resources that the application should not be accessing.

攻撃タイムライン

2026-04-02Disclosure
disclosure
2026-04-02Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントa11y-mcp

ベンダーosv

影響範囲修正版

1.0.0 – 1.0.01.0.1

1.0.1 – 1.0.11.0.2

1.0.2 – 1.0.21.0.3

1.0.3 – 1.0.31.0.4

1.0.4 – 1.0.41.0.5

1.0.5 – 1.0.51.0.6

—1.0.5

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-04-01
公開日2026-04-02
更新日2026-04-04
EPSS 更新日2026-04-09

緩和策と回避策

この脆弱性に対する主な軽減策は、a11y-mcpライブラリをバージョン1.0.6以降にアップグレードすることです。継続的なリリースモデルのため、特定の脆弱バージョンまたは更新バージョンはリストされていません。ライブラリの更新を監視し、利用可能になったらすぐにアップグレードを適用することをお勧めします。さらに、A11yServerによって行われるリクエストに対して許可されたドメインのホワイトリストを実装するなど、追加のセキュリティコントロールを実装することで、SSRFの悪用の潜在的な範囲を制限することをお勧めします。リクエスト処理における潜在的な脆弱性を特定して修正するために、コードレビューを実施することも推奨されます。

修正方法翻訳中…

Actualice el paquete a11y-mcp a la versión 1.0.6 o superior. Esto corrige la vulnerabilidad de Server-Side Request Forgery (SSRF) en la función A11yServer del archivo src/index.js.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5323 とは何ですか？（a11y-mcp の SSRF）

SSRF (Server-Side Request Forgery)は、攻撃者がサーバーに外部から通常アクセスできないリソースへのリクエストを強制的に送信できるようにする脆弱性です。

a11y-mcp の CVE-2026-5323 による影響を受けていますか？

バージョン1.0.6には、以前のバージョンで特定されたSSRF脆弱性の修正が含まれています。

a11y-mcp の CVE-2026-5323 を修正するにはどうすればよいですか？

継続的なリリースモデルのため、直接的なバージョン確認はより複雑です。更新を監視し、利用可能になったらすぐにバージョン1.0.6以降を適用することをお勧めします。

CVE-2026-5323 は積極的に悪用されていますか？

許可されたドメインのホワイトリストを実装し、ソースコードをレビューし、悪用のリスクを軽減するために、追加のセキュリティコントロールを適用してください。

CVE-2026-5323 に関する a11y-mcp の公式アドバイザリはどこで確認できますか？

はい、この脆弱性は公開されており、悪用のリスクが高まっています。