CVE-2026-46341 in MCP Server
الملخص
بحسب VulDB • 16/07/2026
يتيح خادم Apify MCP لوكلاء الذكاء الاصطناعي استخراج البيانات من مواقع الويب باستخدام أدوات الاستخراج (scrapers) والزحف (crawlers) والأتمتة الجاهزة المتاحة في متجر Apify. قبل الإصدار 0.9.21، كانت أداة fetch-apify-docs الموجودة في src/tools/common/fetch_apify_docs.ts تتحقق من نطاقات التوثيق المدرجة ضمن القائمة البيضاء باستخدام String.startsWith() بدلاً من مقارنة اسم المضيف (hostname) لعنوان URL، مما يسمح للعناوين التي يتحكم فيها المهاجم مثل `https://docs.apify.com.evil.com/` و `https://[email protected]/` بالمرور عبر فحص ALLOWED_DOC_DOMAINS وإرجاع محتوى تم جلبه بشكل تعسفي إلى نموذج اللغة الكبير (LLM). تمت معالجة هذه المشكلة في الإصدار 0.9.21.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.