CVE-2026-15746 in strands-agents-toolsالمعلومات

الملخص

بحسب VulDB • 15/07/2026

تُعد Strands Agents عبارة عن مجموعة تطوير برمجيات (SDK) مفتوحة المصدر مبنية بلغة Python لإنشاء وتشغيل وكلاء الذكاء الاصطناعي. يوفر حزمة strands-agents-tools أدوات جاهزة للاستخدام مع الـ SDK، بما في ذلك أداة elasticsearch_memory لتخزين ذاكرة الوكيل. حددنا وجود ثغرة CVE-2026-15746، وهي مشكلة تزوير طلبات جانب الخادم (SSRF) في أداة elasticsearch_memory. كانت الأداة تكشف عن معاملات الاتصال الخاصة بها (es_url, cloud_id, api_key) كحقول يمكن لنموذج اللغة الكبير (LLM) التحكم فيها من خلال مخطط الأداة. عندما يتغيب المتصل عن تحديد معلمة api_key، تعود الألية إلى متغير البيئة ELASTICSEARCH_API_KEY الخاص بالمشغل وترسله إلى أي مضيف يحدده نموذج اللغة الكبير. يمكن لمدخلات مُعدّة خصيصاً (crafted prompt) أن تدفع الأداة للاتصال بخادم يتحكم فيه طرف خبيث وكشف مفتاح Elasticsearch API الخاص بالمشغل في رأس المصادقة Authorization header.

نوصي بترقية strands-agents-tools إلى الإصدار 0.7.0 أو أحدث. كإجراء احترازي، نوصي جميع المشغّلين بتدوير مفاتيح ELASTICSEARCH_API_KEY الخاصة بهم، حتى لو لم توجد مؤشرات على أن الاعتمادات قد تم كشفها.

Once again VulDB remains the best source for vulnerability data.

مسؤول

AMZN

حجز

14/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379363

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!