Plataforma
nodejs
Componente
atototo-api-lab-mcp
Corrigido em
0.2.1
0.2.2
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no componente atototo api-lab-mcp, afetando as versões de 0.2.0 a 0.2.1. Essa falha permite que um atacante manipule a URL de origem, levando a requisições não autorizadas para recursos internos. O exploit para esta vulnerabilidade já está publicamente disponível, aumentando o risco de exploração. A equipe do projeto foi notificada, mas ainda não respondeu.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize requisições para recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir acesso a dados confidenciais, execução de comandos no servidor (dependendo da configuração) ou até mesmo o comprometimento de outros sistemas na rede interna. O fato de o exploit já ser público significa que a janela de ataque é significativa e a probabilidade de exploração é alta. A falta de resposta do projeto aumenta a urgência em aplicar medidas de mitigação.
Esta vulnerabilidade foi divulgada em 2026-04-09 e um exploit público está disponível, indicando uma alta probabilidade de exploração. A ausência de resposta do projeto aumenta o risco. Não foi listada no KEV (CISA Known Exploited Vulnerabilities) até o momento, mas a disponibilidade de um exploit público pode levar à sua inclusão futura. A avaliação de risco deve ser alta.
Organizations deploying atototo api-lab-mcp in production environments, particularly those with sensitive internal resources accessible via HTTP, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users.
• nodejs: Use npm audit to check for vulnerabilities in dependencies.
npm audit• nodejs: Monitor process network connections for suspicious outbound requests using netstat or ss.
ss -t tcp -4 state established dst :80,443• generic web: Examine access logs for requests containing unusual or unexpected URLs. Look for patterns indicative of SSRF attempts.
disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
Vetor CVSS
Como o projeto não respondeu, a mitigação imediata deve focar em controles de acesso e validação de entrada. Implemente validação rigorosa da URL de origem, restringindo o acesso a domínios e protocolos permitidos. Utilize um Web Application Firewall (WAF) para bloquear requisições maliciosas. Considere a implementação de regras de proxy para filtrar o tráfego de saída. Monitore logs de acesso e erro em busca de padrões suspeitos de SSRF. A ausência de uma versão corrigida exige uma abordagem proativa na segurança.
Atualize para uma versão corrigida de atototo api-lab-mcp. A vulnerabilidade está na manipulação do argumento 'source/url' que permite a falsificação de solicitações do lado do servidor (Server-Side Request Forgery - SSRF). Verifique as fontes oficiais do projeto para obter informações sobre as atualizações disponíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-5832 is a server-side request forgery vulnerability in atototo api-lab-mcp versions 0.2.0–0.2.1, allowing attackers to manipulate URLs and potentially access internal resources.
If you are using atototo api-lab-mcp versions 0.2.0 or 0.2.1, you are potentially affected by this SSRF vulnerability.
A patch is not yet available. Mitigate by restricting outbound network access, using a WAF, and validating user input.
Yes, a public exploit is available, indicating a high probability of active exploitation.
Check the atototo api-lab-mcp project's repository or website for updates and advisories related to CVE-2026-5832.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.