CVE-2026-46341 in MCP Serverinformation

Résumé

par VulDB • 16/07/2026

Le serveur Apify MCP permet aux agents IA d'extraire des données à partir de sites web en utilisant des outils de scraping, de crawl et d'automatisation prêts à l'emploi disponibles sur le magasin Apify (Apify Store). Avant la version 0.9.21, l'outil fetch-apify-docs dans src/tools/common/fetch_apify_docs.ts valide les domaines de documentation figurant sur une liste blanche en utilisant String.startsWith() plutôt qu'une comparaison du nom d'hôte URL, permettant ainsi aux URLs contrôlées par un attaquant telles que `https://docs.apify.com.evil.com/` et `https://[email protected]/` de passer la vérification ALLOWED_DOC_DOMAINS et de renvoyer n'importe quel contenu récupéré au LLM. Ce problème est corrigé dans la version 0.9.21.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

13/05/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379595

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!