Platform
nodejs
Component
a11y-mcp
Opgelost in
1.0.1
1.0.2
1.0.3
1.0.4
1.0.5
1.0.6
1.0.5
CVE-2026-5323 is een server-side request forgery (SSRF) kwetsbaarheid in priyankark a11y-mcp tot en met versie 1.0.5. Een aanvaller kan een SSRF aanval uitvoeren via de A11yServer functie in het bestand src/index.js. De kwetsbaarheid kan lokaal worden misbruikt. Een upgrade naar versie 1.0.6 verhelpt dit probleem.
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is geïdentificeerd in de a11y-mcp bibliotheek ontwikkeld door priyankark, die versies tot 1.0.5 beïnvloedt. Deze kwetsbaarheid bevindt zich in de functie A11yServer van het bestand src/index.js. Een lokale aanvaller kan deze functie manipuleren om verzoeken naar interne of externe resources te sturen, wat mogelijk de systeembeveiliging in gevaar brengt. De publieke openbaarmaking van de kwetsbaarheid verhoogt het risico op uitbuiting, vooral gezien het feit dat het product werkt volgens een rolling release model, waardoor het moeilijk is om specifieke getroffen en bijgewerkte versies te identificeren. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 5.3, wat een matig risico aangeeft.
De SSRF-kwetsbaarheid in a11y-mcp vereist dat de aanvaller zich in een lokale positie bevindt om deze uit te buiten. Dit betekent dat de aanvaller toegang moet hebben tot hetzelfde netwerk of een omgeving waar hij direct met de server kan interageren die de bibliotheek uitvoert. Exploitatie omvat het manipuleren van de functie A11yServer om verzoeken naar ongewenste resources te sturen. De publieke openbaarmaking van de kwetsbaarheid vergemakkelijkt de creatie van exploits en vergroot de kans op gerichte aanvallen. Het gebruik van een rolling release model door het product compliceert patch- en updatebeheer, wat de periode van kwetsbaarheid blootstelling kan verlengen.
Organizations deploying a11y-mcp in environments where local network access is possible are at risk. This includes development environments, internal testing systems, and production deployments where the application interacts with internal services. Shared hosting environments utilizing this package are also potentially vulnerable.
• nodejs / server:
npm list a11y-mcpIf the output shows a version less than 1.0.6, the system is vulnerable. • nodejs / server:
npm audit a11y-mcpThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect network traffic for unusual outbound requests originating from the application server. Look for requests to internal services or resources that the application should not be accessing.
disclosure
patch
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het upgraden van de a11y-mcp bibliotheek naar versie 1.0.6 of hoger. Vanwege het rolling release model worden geen specifieke getroffen of bijgewerkte versies vermeld. Het wordt aanbevolen om de bibliotheekupdates te volgen en de upgrade zo snel mogelijk toe te passen. Bovendien wordt aanbevolen om aanvullende beveiligingscontroles te implementeren, zoals whitelists voor toegestane domeinen voor verzoeken die door A11yServer worden gedaan, om de potentiële reikwijdte van SSRF-uitbuiting te beperken. Code review om potentiële zwakke punten in de request handling te identificeren en te verhelpen, wordt ook aanbevolen.
Actualice el paquete a11y-mcp a la versión 1.0.6 o superior. Esto corrige la vulnerabilidad de Server-Side Request Forgery (SSRF) en la función A11yServer del archivo src/index.js.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
SSRF (Server-Side Request Forgery) is een kwetsbaarheid die een aanvaller in staat stelt om een server te dwingen verzoeken te sturen naar resources die normaal gesproken niet toegankelijk zijn van buitenaf.
Versie 1.0.6 bevat de fix voor de SSRF-kwetsbaarheid die in eerdere versies is geïdentificeerd.
Vanwege het rolling release model is directe versiecontrole complexer. Het wordt aanbevolen om updates te volgen en versie 1.0.6 of hoger zo snel mogelijk toe te passen.
Implementeer whitelists voor toegestane domeinen, beoordeel de broncode en pas aanvullende beveiligingscontroles toe om het risico op uitbuiting te verminderen.
Ja, de kwetsbaarheid is publiek bekendgemaakt, wat het risico op uitbuiting vergroot.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.