MEDIUMCVE-2026-5323CVSS 5.3

priyankark a11y-mcp index.js A11yServer 服务器端请求伪造 (Server-Side Request Forgery)

平台

nodejs

组件

a11y-mcp

修复版本

1.0.1

1.0.2

1.0.3

1.0.4

1.0.5

1.0.6

1.0.5

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5323 是在 priyankark a11y-mcp 1.0.5 及之前版本中发现的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞存在于 src/index.js 文件的 A11yServer 函数中，允许本地攻击者发起服务器端请求伪造攻击。成功利用此漏洞可能导致敏感信息泄露或访问内部资源。受影响的版本包括 1.0.0 到 1.0.5。此漏洞已在 1.0.6 版本中修复。

影响与攻击场景

在 priyankark 开发的 a11y-mcp 库中，发现版本高达 1.0.5 的漏洞。此漏洞存在于文件 src/index.js 中的 A11yServer 函数中。本地攻击者可以操纵此函数，向内部或外部资源发送请求，从而可能损害系统安全。漏洞的公开披露增加了被利用的风险，尤其考虑到该产品采用滚动发布模式，这使得难以确定受影响的具体版本和已更新的版本。该漏洞的严重程度被评为 CVSS 5.3，表明存在中等风险。

利用背景

a11y-mcp 中的 SSRF 漏洞要求攻击者位于本地位置才能利用它。这意味着攻击者必须访问与运行库的服务器相同的网络或环境，以便与之直接交互。利用包括操纵 A11yServer 函数，使其向不需要的资源发送请求。此漏洞的公开披露简化了利用程序的创建，并增加了定向攻击的可能性。该产品采用滚动发布模式，这使得补丁和更新管理复杂化，从而可能延长了漏洞暴露期。

哪些人处于风险中翻译中…

Organizations deploying a11y-mcp in environments where local network access is possible are at risk. This includes development environments, internal testing systems, and production deployments where the application interacts with internal services. Shared hosting environments utilizing this package are also potentially vulnerable.

检测步骤翻译中…

• nodejs / server:

  npm list a11y-mcp

If the output shows a version less than 1.0.6, the system is vulnerable. • nodejs / server:

  npm audit a11y-mcp

This command will identify the vulnerability and suggest an upgrade. • generic web: Inspect network traffic for unusual outbound requests originating from the application server. Look for requests to internal services or resources that the application should not be accessing.

攻击时间线

2026-04-02Disclosure
disclosure
2026-04-02Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (2% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件a11y-mcp

供应商osv

影响范围修复版本

1.0.0 – 1.0.01.0.1

1.0.1 – 1.0.11.0.2

1.0.2 – 1.0.21.0.3

1.0.3 – 1.0.31.0.4

1.0.4 – 1.0.41.0.5

1.0.5 – 1.0.51.0.6

—1.0.5

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-01
发布日期2026-04-02
修改日期2026-04-04
EPSS 更新日期2026-04-09

缓解措施和替代方案

此漏洞的主要缓解措施是将 a11y-mcp 库升级到 1.0.6 或更高版本。由于采用滚动发布模式，因此未列出特定的受影响或已更新的版本。建议监控库更新并在可用时立即应用更新。此外，建议实施额外的安全控制措施，例如为 A11yServer 发起的请求设置允许域的白名单，以限制 SSRF 利用的潜在范围。审查代码以识别和修复请求处理中的潜在弱点也是推荐的做法。

修复方法翻译中…

Actualice el paquete a11y-mcp a la versión 1.0.6 o superior. Esto corrige la vulnerabilidad de Server-Side Request Forgery (SSRF) en la función A11yServer del archivo src/index.js.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5323 是什么 — a11y-mcp 中的 SSRF？

SSRF (Server-Side Request Forgery) 是一种漏洞，允许攻击者强制服务器向通常无法从外部访问的资源发送请求。

a11y-mcp 中的 CVE-2026-5323 是否会影响我？

版本 1.0.6 包含更正先前版本中识别的 SSRF 漏洞。

如何修复 a11y-mcp 中的 CVE-2026-5323？

由于采用滚动发布模式，因此直接版本检查更为复杂。建议监控更新并在可用时立即应用版本 1.0.6 或更高版本。

CVE-2026-5323 是否正在被积极利用？

实施允许域的白名单，审查源代码，并应用额外的安全控制措施以降低利用风险。

在哪里可以找到 a11y-mcp 关于 CVE-2026-5323 的官方安全通告？

是的，此漏洞已公开，这增加了被利用的风险。