CVE-2026-15746 in strands-agents-toolsinformación

Resumen

por VulDB • 2026-07-15

Strands Agents es un SDK de Python de código abierto para crear y ejecutar agentes de IA. El paquete strands-agents-tools proporciona herramientas preconstruidas para su uso con el SDK, incluida la herramienta elasticsearch_memory para el almacenamiento de memoria del agente. Identificamos CVE-2026-15746, una vulnerabilidad de falsificación de solicitudes en el lado del servidor (SSRF) en la herramienta elasticsearch_memory. La herramienta exponía sus parámetros de conexión (es_url, cloud_id, api_key) como campos que el modelo de lenguaje grande (LLM) podía controlar a través del esquema de la herramienta. Cuando un llamante omitía el parámetro api_key, la herramienta recurría a la variable de entorno ELASTICSEARCH_API_KEY del operador y la enviaba al host especificado por el LLM. Una solicitud maliciosa podría hacer que la herramienta se conectara a un servidor controlado por un actor de amenaza y revelara la clave API de Elasticsearch del operador en el encabezado Authorization.

Recomendamos actualizar a strands-agents-tools versión 0.7.0 o posterior. Como medida precautoria, recomendamos que todos los operadores roten su ELASTICSEARCH_API_KEY, incluso si no hay indicios de que las credenciales hayan sido expuestas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

AMZN

Reservar

2026-07-14

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379363

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!