Platform
nodejs
Component
mcp-markdownify-server
Opgelost in
0.0.2
CVE-2025-5276 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in het npm-pakket mcp-markdownify-server. Deze kwetsbaarheid stelt aanvallers in staat om verzoeken te sturen naar externe URL's via de Markdownify.get() functie, wat kan leiden tot het lekken van gevoelige informatie. De kwetsbaarheid treft versies van mcp-markdownify-server tot en met 0.0.1. Een oplossing is beschikbaar in de nieuwste versie van het pakket.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om verzoeken te initiëren vanuit de server waarop mcp-markdownify-server draait, alsof ze afkomstig zijn van die server. Dit kan worden gebruikt om toegang te krijgen tot interne bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet, zoals interne API's, databases of andere gevoelige systemen. De aanvaller kan ook gevoelige informatie ophalen van externe websites en deze naar de server sturen, wat kan leiden tot data-exfiltratie. Het is vergelijkbaar met SSRF-aanvallen die in andere webapplicaties zijn waargenomen, waarbij interne services worden blootgesteld door middel van onbeveiligde externe verzoeken.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-05-29. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Het is echter belangrijk om deze kwetsbaarheid serieus te nemen, aangezien SSRF-aanvallen vaak kunnen worden gebruikt om gevoelige informatie te stelen of interne systemen te compromitteren. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de urgentie van patching onderstreept.
Applications and services utilizing the mcp-markdownify-server package, particularly those deployed in environments with sensitive internal resources accessible via HTTP/HTTPS, are at risk. This includes development environments, testing servers, and production deployments where the package is used for markdown processing.
• nodejs: Monitor process execution for suspicious outbound HTTP requests originating from the mcp-markdownify-server process. Use ps aux | grep mcp-markdownify-server to identify running processes and netstat -an | grep mcp-markdownify-server to check connections.
ps aux | grep mcp-markdownify-server
netstat -an | grep mcp-markdownify-server• generic web: Check access logs for requests to unusual or unexpected URLs originating from the server hosting mcp-markdownify-server. Look for patterns indicative of SSRF attempts.
grep 'markdownify-server' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-5276 is het upgraden van mcp-markdownify-server naar de nieuwste versie, aangezien deze versie de kwetsbaarheid verhelpt. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de Markdownify.get() functie via een web application firewall (WAF) of proxy. Configureer de WAF om verzoeken naar onbekende of potentieel schadelijke domeinen te blokkeren. Controleer ook de configuratie van de MCP host om te zorgen voor minimale privileges en beperkte toegang tot interne bronnen. Na de upgrade, bevestig de correcte werking door een testverzoek te sturen naar een bekende, veilige URL en controleer of de respons correct wordt verwerkt.
Werk het pakket mcp-markdownify-server bij naar de laatste beschikbare versie. Dit zal de SSRF-kwetsbaarheid in de Markdownify.get() functie verhelpen. Raadpleeg de release notes voor meer details over de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-5276 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in mcp-markdownify-server ≤0.0.1, waardoor aanvallers verzoeken kunnen versturen naar externe URL's.
Ja, als u een versie van mcp-markdownify-server gebruikt die ≤0.0.1 is, dan bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade mcp-markdownify-server naar de nieuwste versie. Indien dit niet mogelijk is, configureer dan een WAF om verzoeken naar onbekende domeinen te blokkeren.
Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar het is belangrijk om de kwetsbaarheid te patchen.
Raadpleeg de npm package page voor mcp-markdownify-server voor updates en advisories: [https://www.npmjs.com/package/mcp-markdownify-server](https://www.npmjs.com/package/mcp-markdownify-server)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.