atototo api-lab-mcp HTTP http-server.ts test_http_endpoint server-side request forgery

api-lab-mcpのバージョン0.2.1までの脆弱性が特定されました。具体的には、ファイルsrc/mcp/http-server.ts内のanalyzeapispec/generatetestscenarios/testhttpendpoint関数におけるsource/url引数の操作により、サーバーサイドリクエストフォージェリ（SSRF）が発生します。攻撃者はこの脆弱性を悪用して、通常外部からアクセスできない内部リソースへのリクエストを送信できます。これにより、機密データへのアクセス、任意のコードの実行、または他の内部サービスとの連携が可能になる可能性があります。エクスプロイトの公開により、悪意のある攻撃者による悪用のリスクが高まります。この脆弱性はHTTPインターフェースコンポーネントに影響を与え、緊急の対応が必要です。

Organizations deploying atototo api-lab-mcp in production environments, particularly those with sensitive internal resources accessible via HTTP, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users.

• nodejs: Use npm audit to check for vulnerabilities in dependencies.

npm audit

• nodejs: Monitor process network connections for suspicious outbound requests using netstat or ss.

ss -t tcp -4 state established dst :80,443

• generic web: Examine access logs for requests containing unusual or unexpected URLs. Look for patterns indicative of SSRF attempts.

1. 2026-04-09Disclosure

   disclosure

1. 予約済み2026-04-08
2. 公開日2026-04-09
3. 更新日2026-04-13
4. EPSS 更新日2026-04-16

現時点では、この脆弱性に対する公式な修正（fix）は提供されていません。最も効果的な即時対策は、api-lab-mcpの新しいバージョンが利用可能になったらアップグレードすることです。その間は、Webアプリケーションファイアウォール（WAF）などの追加のセキュリティコントロールを実装して、SSRFリクエストを検出し、ブロックすることをお勧めします。さらに、特にURLなど、すべてのユーザー入力を厳格に検証およびサニタイズして、悪意のある値の挿入を防ぐことが重要です。不審なパターンを監視してネットワークトラフィックを監視することで、潜在的な攻撃を特定し、対応することができます。api-lab-mcpの開発チームに連絡して、今後のアップデートとパッチに関する情報を入手することも推奨されます。