Plataforma
nodejs
Componente
a11y-mcp
Corrigido em
1.0.1
1.0.2
1.0.3
1.0.4
1.0.5
1.0.6
1.0.5
CVE-2026-5323 descreve uma vulnerabilidade de Server-Side Request Forgery (SSRF) encontrada no componente a11y-mcp. Essa falha permite que um atacante execute requisições para servidores internos, potencialmente expondo dados sensíveis ou comprometendo a segurança da infraestrutura. A vulnerabilidade afeta as versões 1.0.0 até 1.0.5 do a11y-mcp. A correção está disponível na versão 1.0.6.
Uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) foi identificada na biblioteca a11y-mcp desenvolvida por priyankark, afetando versões até a 1.0.5. Essa vulnerabilidade reside na função A11yServer do arquivo src/index.js. Um atacante, localizado em uma posição local, pode manipular essa função para realizar solicitações a recursos internos ou externos, potencialmente comprometendo a segurança do sistema. A divulgação pública da vulnerabilidade aumenta o risco de exploração, especialmente considerando que o produto opera sob um modelo de lançamento contínuo, o que dificulta a identificação precisa das versões afetadas e atualizadas. A gravidade da vulnerabilidade é classificada como CVSS 5.3, indicando um risco moderado.
A vulnerabilidade de SSRF em a11y-mcp requer que o atacante esteja em uma posição local para poder explorá-la. Isso significa que o atacante deve ter acesso à mesma rede ou a um ambiente onde possa interagir diretamente com o servidor que executa a biblioteca. A exploração envolve a manipulação da função A11yServer para que realize solicitações a recursos indesejados. A divulgação pública da vulnerabilidade facilita a criação de exploits e aumenta a probabilidade de ataques direcionados. O fato de que o produto utilize um modelo de lançamento contínuo complica a gestão de patches e atualizações, o que poderia prolongar o período de exposição à vulnerabilidade.
Organizations deploying a11y-mcp in environments where local network access is possible are at risk. This includes development environments, internal testing systems, and production deployments where the application interacts with internal services. Shared hosting environments utilizing this package are also potentially vulnerable.
• nodejs / server:
npm list a11y-mcpIf the output shows a version less than 1.0.6, the system is vulnerable. • nodejs / server:
npm audit a11y-mcpThis command will identify the vulnerability and suggest an upgrade. • generic web: Inspect network traffic for unusual outbound requests originating from the application server. Look for requests to internal services or resources that the application should not be accessing.
disclosure
patch
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A principal mitigação para essa vulnerabilidade é atualizar a biblioteca a11y-mcp para a versão 1.0.6 ou superior. Devido ao modelo de lançamento contínuo, não há versões específicas afetadas ou atualizadas listadas. Recomenda-se monitorar as atualizações da biblioteca e aplicar a atualização assim que estiver disponível. Além disso, é aconselhável implementar controles de segurança adicionais, como listas de permissão de domínios permitidos para as solicitações realizadas por A11yServer, para limitar o alcance potencial da exploração de SSRF. A revisão do código fonte para identificar e corrigir possíveis pontos fracos no tratamento das solicitações também é uma prática recomendada.
Actualice el paquete a11y-mcp a la versión 1.0.6 o superior. Esto corrige la vulnerabilidad de Server-Side Request Forgery (SSRF) en la función A11yServer del archivo src/index.js.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
SSRF (Server-Side Request Forgery) é uma vulnerabilidade que permite a um atacante forçar um servidor a realizar solicitações a recursos que normalmente não seriam acessíveis do exterior.
A versão 1.0.6 contém a correção para a vulnerabilidade de SSRF identificada em versões anteriores.
Devido ao modelo de lançamento contínuo, a verificação direta da versão é mais complexa. Recomenda-se monitorar as atualizações e aplicar a versão 1.0.6 ou superior assim que estiver disponível.
Implemente listas de permissão de domínios permitidos, revise o código fonte e aplique controles de segurança adicionais para mitigar o risco de exploração.
Sim, a vulnerabilidade foi divulgada publicamente, o que aumenta o risco de exploração.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.