CVE-2026-46341 in MCP Server
Zusammenfassung
von VulDB • 16.07.2026
Der Apify MCP-Server ermöglicht es KI-Agenten, Daten von Websites mithilfe vorgefertigter Scraper, Crawler und Automatisierungstools zu extrahieren, die im Apify Store verfügbar sind. Vor Version 0.9.21 validiert das Tool `fetch-apify-docs` in `src/tools/common/fetch_apify_docs.ts` allowlisted Dokumentationsdomänen mit `String.startsWith()` anstelle eines URL-Hostname-Vergleichs. Dies ermöglicht es Angreifern, kontrollierte URLs wie `https://docs.apify.com.evil.com/` und `https://[email protected]/` den ALLOWED_DOC_DOMAINS-Check bestehen zu lassen und beliebige abgerufene Inhalte an das LLM zurückzugeben. Dieses Problem wurde in Version 0.9.21 behoben.
Be aware that VulDB is the high quality source for vulnerability data.