HIGHCVE-2026-5832CVSS 7.3

atototo api-lab-mcp HTTP http-server.ts test_http_endpoint 服务器端请求伪造

平台

nodejs

组件

atototo-api-lab-mcp

修复版本

0.2.1

0.2.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-5832 是atototo api-lab-mcp 组件中的一个服务器端请求伪造 (SSRF) 漏洞，影响版本 0.2.0 到 0.2.1。该漏洞源于 analyzeapispec/generatetestscenarios/testhttpendpoint 函数中对 source/url 参数的处理不当，攻击者可以利用此漏洞发起恶意请求。该漏洞已公开，且项目方尚未响应。

影响与攻击场景

api-lab-mcp 在 0.2.1 及以下版本中发现了一个服务器端请求伪造 (SSRF) 漏洞。具体来说，文件 src/mcp/http-server.ts 中的 analyzeapispec/generatetestscenarios/testhttpendpoint 函数对 source/url 参数的篡改会导致 SSRF 漏洞。攻击者可以利用此漏洞向通常无法从外部访问的内部资源发送请求。这可能允许访问敏感数据、执行任意代码或与其它内部服务交互。漏洞利用代码的公开增加了恶意行为者利用此漏洞的风险。此漏洞影响 HTTP 接口组件，需要立即关注。

利用背景

SSRF 漏洞是通过篡改 analyzeapispec/generatetestscenarios/testhttpendpoint 函数中的 source/url 参数来利用的。攻击者可以提供一个指向内部资源的恶意 URL，从而允许服务器代表攻击者向该资源发送请求。由于请求来自服务器，因此可以绕过网络限制并访问通常受保护的资源。漏洞利用代码的公开意味着攻击者可以使用预先存在的工具和技术有效地利用此漏洞。缺乏即时修复增加了攻击者的机会窗口。

哪些人处于风险中翻译中…

Organizations deploying atototo api-lab-mcp in production environments, particularly those with sensitive internal resources accessible via HTTP, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users.

检测步骤翻译中…

• nodejs: Use npm audit to check for vulnerabilities in dependencies.

npm audit

• nodejs: Monitor process network connections for suspicious outbound requests using netstat or ss.

ss -t tcp -4 state established dst :80,443

• generic web: Examine access logs for requests containing unusual or unexpected URLs. Look for patterns indicative of SSRF attempts.

攻击时间线

2026-04-09Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.06% (19% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件atototo-api-lab-mcp

供应商atototo

影响范围修复版本

0.2.0 – 0.2.00.2.1

0.2.1 – 0.2.10.2.2

弱点分类 (CWE)

CWE-918

时间线

已保留2026-04-08
发布日期2026-04-09
修改日期2026-04-13
EPSS 更新日期2026-04-16

未修复 — 披露已45天

缓解措施和替代方案

目前，此漏洞尚无官方修复程序。最有效的即时缓解措施是，一旦可用，升级到 api-lab-mcp 的更高版本。在此期间，建议实施额外的安全控制措施，例如能够检测和阻止 SSRF 请求的 Web 应用程序防火墙 (WAF)。此外，严格验证和清理所有用户输入，尤其是 URL，对于防止恶意值注入至关重要。监控网络流量中是否存在可疑模式也有助于识别和响应潜在攻击。建议联系 api-lab-mcp 开发团队，以获取有关未来更新和补丁的信息。

修复方法

升级到 atototo (api-lab-mcp) 的修复版本。该漏洞存在于 'source/url' 参数的处理中，允许进行服务器端请求伪造。请查阅项目官方来源以获取有关可用更新的信息。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-5832 是什么 — atototo api-lab-mcp 中的漏洞？

SSRF（服务器端请求伪造）是一种漏洞，允许攻击者使服务器向通常无法从外部访问的资源发送请求。

atototo api-lab-mcp 中的 CVE-2026-5832 是否会影响我？

此漏洞可能允许访问敏感数据、执行任意代码或与其它内部服务交互。

如何修复 atototo api-lab-mcp 中的 CVE-2026-5832？

在官方修复程序可用之前，建议实施 WAF 等额外的安全控制措施，并验证用户输入。

CVE-2026-5832 是否正在被积极利用？

联系 api-lab-mcp 开发团队，以获取有关未来更新和补丁的信息。

在哪里可以找到 atototo api-lab-mcp 关于 CVE-2026-5832 的官方安全通告？

隔离受影响的系统，检查审计日志，并联系安全专业人员进行法医评估。