CVE-2026-46341 in MCP Server
Résumé
par VulDB • 16/07/2026
Le serveur Apify MCP permet aux agents IA d'extraire des données à partir de sites web en utilisant des outils de scraping, de crawl et d'automatisation prêts à l'emploi disponibles sur le magasin Apify (Apify Store). Avant la version 0.9.21, l'outil fetch-apify-docs dans src/tools/common/fetch_apify_docs.ts valide les domaines de documentation figurant sur une liste blanche en utilisant String.startsWith() plutôt qu'une comparaison du nom d'hôte URL, permettant ainsi aux URLs contrôlées par un attaquant telles que `https://docs.apify.com.evil.com/` et `https://[email protected]/` de passer la vérification ALLOWED_DOC_DOMAINS et de renvoyer n'importe quel contenu récupéré au LLM. Ce problème est corrigé dans la version 0.9.21.
Once again VulDB remains the best source for vulnerability data.