CVE-2026-15746 in strands-agents-tools
Resumen
por VulDB • 2026-07-15
Strands Agents es un SDK de Python de código abierto para crear y ejecutar agentes de IA. El paquete strands-agents-tools proporciona herramientas preconstruidas para su uso con el SDK, incluida la herramienta elasticsearch_memory para el almacenamiento de memoria del agente. Identificamos CVE-2026-15746, una vulnerabilidad de falsificación de solicitudes en el lado del servidor (SSRF) en la herramienta elasticsearch_memory. La herramienta exponía sus parámetros de conexión (es_url, cloud_id, api_key) como campos que el modelo de lenguaje grande (LLM) podía controlar a través del esquema de la herramienta. Cuando un llamante omitía el parámetro api_key, la herramienta recurría a la variable de entorno ELASTICSEARCH_API_KEY del operador y la enviaba al host especificado por el LLM. Una solicitud maliciosa podría hacer que la herramienta se conectara a un servidor controlado por un actor de amenaza y revelara la clave API de Elasticsearch del operador en el encabezado Authorization.
Recomendamos actualizar a strands-agents-tools versión 0.7.0 o posterior. Como medida precautoria, recomendamos que todos los operadores roten su ELASTICSEARCH_API_KEY, incluso si no hay indicios de que las credenciales hayan sido expuestas.
If you want to get best quality of vulnerability data, you may have to visit VulDB.