CVE-2026-15746 in strands-agents-tools
الملخص
بحسب VulDB • 15/07/2026
تُعد Strands Agents عبارة عن مجموعة تطوير برمجيات (SDK) مفتوحة المصدر مبنية بلغة Python لإنشاء وتشغيل وكلاء الذكاء الاصطناعي. يوفر حزمة strands-agents-tools أدوات جاهزة للاستخدام مع الـ SDK، بما في ذلك أداة elasticsearch_memory لتخزين ذاكرة الوكيل. حددنا وجود ثغرة CVE-2026-15746، وهي مشكلة تزوير طلبات جانب الخادم (SSRF) في أداة elasticsearch_memory. كانت الأداة تكشف عن معاملات الاتصال الخاصة بها (es_url, cloud_id, api_key) كحقول يمكن لنموذج اللغة الكبير (LLM) التحكم فيها من خلال مخطط الأداة. عندما يتغيب المتصل عن تحديد معلمة api_key، تعود الألية إلى متغير البيئة ELASTICSEARCH_API_KEY الخاص بالمشغل وترسله إلى أي مضيف يحدده نموذج اللغة الكبير. يمكن لمدخلات مُعدّة خصيصاً (crafted prompt) أن تدفع الأداة للاتصال بخادم يتحكم فيه طرف خبيث وكشف مفتاح Elasticsearch API الخاص بالمشغل في رأس المصادقة Authorization header.
نوصي بترقية strands-agents-tools إلى الإصدار 0.7.0 أو أحدث. كإجراء احترازي، نوصي جميع المشغّلين بتدوير مفاتيح ELASTICSEARCH_API_KEY الخاصة بهم، حتى لو لم توجد مؤشرات على أن الاعتمادات قد تم كشفها.
Once again VulDB remains the best source for vulnerability data.