Plataforma
nodejs
Componente
mcp-markdownify-server
Corrigido em
0.0.2
A vulnerabilidade CVE-2025-5276 é uma falha de Server-Side Request Forgery (SSRF) identificada no pacote mcp-markdownify-server, afetando versões até 0.0.1. Um atacante pode explorar essa falha para realizar requisições não autorizadas através do servidor, potencialmente expondo informações confidenciais. A correção completa está disponível na versão mais recente do pacote. A vulnerabilidade foi divulgada em 29 de maio de 2025.
A exploração bem-sucedida da vulnerabilidade SSRF em mcp-markdownify-server permite que um atacante force o servidor a fazer requisições para URLs arbitrários sob seu controle. Isso pode levar ao vazamento de informações sensíveis, como credenciais, chaves de API ou dados confidenciais armazenados em outros sistemas acessíveis à rede interna. O atacante pode, por exemplo, ler arquivos de configuração, acessar serviços internos não expostos publicamente ou até mesmo realizar ataques de phishing direcionados. A ausência de validação adequada nas requisições feitas pelas funções Markdownify.get() torna a exploração relativamente simples.
A vulnerabilidade CVE-2025-5276 foi divulgada em 29 de maio de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração, portanto, é crucial aplicar as medidas de mitigação o mais rápido possível.
Applications and services utilizing the mcp-markdownify-server package, particularly those deployed in environments with sensitive internal resources accessible via HTTP/HTTPS, are at risk. This includes development environments, testing servers, and production deployments where the package is used for markdown processing.
• nodejs: Monitor process execution for suspicious outbound HTTP requests originating from the mcp-markdownify-server process. Use ps aux | grep mcp-markdownify-server to identify running processes and netstat -an | grep mcp-markdownify-server to check connections.
ps aux | grep mcp-markdownify-server
netstat -an | grep mcp-markdownify-server• generic web: Check access logs for requests to unusual or unexpected URLs originating from the server hosting mcp-markdownify-server. Look for patterns indicative of SSRF attempts.
grep 'markdownify-server' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-5276 é atualizar o pacote mcp-markdownify-server para a versão mais recente, que corrige a vulnerabilidade. Caso a atualização imediata não seja possível devido a incompatibilidades ou dependências, considere implementar medidas de mitigação adicionais, como restringir o acesso à função Markdownify.get() apenas a fontes confiáveis. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições SSRF também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de requisições suspeitas originadas da função Markdownify.get().
Atualize o pacote mcp-markdownify-server para a última versão disponível. Isso corrigirá a vulnerabilidade SSRF na função Markdownify.get(). Consulte as notas de versão para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-5276 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no pacote mcp-markdownify-server, permitindo que atacantes façam requisições não autorizadas através do servidor.
Sim, se você estiver utilizando uma versão do mcp-markdownify-server inferior ou igual a 0.0.1, você está vulnerável a esta falha.
A correção recomendada é atualizar o pacote mcp-markdownify-server para a versão mais recente. Se a atualização não for possível, aplique medidas de mitigação como restrição de acesso e WAF.
Atualmente, não há informações disponíveis sobre exploração ativa, mas a existência de um PoC público pode aumentar o risco.
Consulte o repositório do projeto mcp-markdownify-server no GitHub ou o registro de vulnerabilidades do npm para obter informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.