CVE-2026-46341 in MCP Server
Resumen
por VulDB • 2026-07-16
El servidor Apify MCP permite a los agentes de IA extraer datos de sitios web mediante scrapers, crawlers y herramientas de automatización preconfigurados disponibles en la Tienda Apify. Antes de la versión 0.9.21, la herramienta fetch-apify-docs en src/tools/common/fetch_apify_docs.ts validaba los dominios documentales permitidos utilizando String.startsWith() en lugar de una comparación del hostname de la URL, lo que permitía a las URLs controladas por el atacante, como `https://docs.apify.com.evil.com/` y `https://[email protected]/`, superar la verificación ALLOWED_DOC_DOMAINS y devolver contenido arbitrario obtenido al LLM. Este problema se ha corregido en la versión 0.9.21.
Once again VulDB remains the best source for vulnerability data.