priyankark a11y-mcp index.js A11yServer サーバーサイドリクエストフォージェリ

priyankark a11y-mcp の 1.0.5 までのバージョンに脆弱性が発見されました。この脆弱性は、src/index.js ファイルの A11yServer 関数に影響します。この操作により、サーバーサイドリクエストフォージェリが発生します。攻撃はローカルから開始される必要があります。このエクスプロイトは公開されており、悪用される可能性があります。この製品はローリングリリース方式で運用されており、継続的なデリバリーを保証しています。そのため、影響を受けるリリースまたは更新されたリリースのバージョン詳細は存在しません。バージョン 1.0.6 にアップグレードすることで、この問題を解決できます。パッチは e3e11c9e8482bd06b82fd9fced67be4856f0dffc として識別されます。影響を受けるコンポーネントをアップグレードすることを推奨します。ベンダーはこの問題を認識していますが、CVSS レーティングに関する追加のコンテキストを提供しています: "a11y-mcp はローカルの stdio MCP サーバーであり、HTTP エンドポイントを持たず、ネットワークアクセスできません。呼び出し元は常にローカルユーザー、またはユーザーの承認を得てユーザーの代わりに動作する LLM です。"