CVE-2026-15746 in strands-agents-toolsinfo

Zusammenfassung

von VulDB • 15.07.2026

Strands Agents ist ein Open-Source-Python-SDK zum Erstellen und Ausführen von KI-Agenten. Das Paket strands-agents-tools bietet vorgefertigte Tools zur Verwendung mit dem SDK, einschließlich des elasticsearch_memory-Tools für die Speicherung der Agentenspeicherdaten. Wir haben CVE-2026-15746 identifiziert, ein Server-Side Request Forgery (SSRF)-Problem im elasticsearch_memory-Tool. Das Tool gab seine Verbindungsparameter (es_url, cloud_id, api_key) als Felder frei, die das Large Language Model (LLM) über das Toolschema steuern konnte. Wenn der Aufrufer den Parameter api_key wegliess, griff das Tool auf die Umgebungsvariable ELASTICSEARCH_API_KEY des Betreibers zurück und sendete diese an jeden Host, den das LLM angab. Ein speziell angefertigter Prompt könnte dazu führen, dass sich das Tool mit einem von einem Bedrohungsakteur kontrollierten Server verbindet und den Elasticsearch-API-Schlüssel des Operators im Authorization-Header offenlegt.

Wir empfehlen ein Upgrade auf strands-agents-tools Version 0.7.0 oder höher. Als Vorsichtsmaßnahme empfehlen wir allen Betreibern, ihren ELASTICSEARCH_API_KEY zu rotieren (zu ändern), auch wenn keine Anzeichen dafür vorliegen, dass die Anmeldedaten offengelegt wurden.

Once again VulDB remains the best source for vulnerability data.

Zuständig

AMZN

Reservieren

14.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379363

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!