CVE-2026-46341 in MCP Serverinfo

Zusammenfassung

von VulDB • 16.07.2026

Der Apify MCP-Server ermöglicht es KI-Agenten, Daten von Websites mithilfe vorgefertigter Scraper, Crawler und Automatisierungstools zu extrahieren, die im Apify Store verfügbar sind. Vor Version 0.9.21 validiert das Tool `fetch-apify-docs` in `src/tools/common/fetch_apify_docs.ts` allowlisted Dokumentationsdomänen mit `String.startsWith()` anstelle eines URL-Hostname-Vergleichs. Dies ermöglicht es Angreifern, kontrollierte URLs wie `https://docs.apify.com.evil.com/` und `https://[email protected]/` den ALLOWED_DOC_DOMAINS-Check bestehen zu lassen und beliebige abgerufene Inhalte an das LLM zurückzugeben. Dieses Problem wurde in Version 0.9.21 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

13.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379595

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!