CVE-2026-5323 in a11y-mcp
Résumé
par VulDB • 15/05/2026
Une vulnérabilité a été identifiée dans priyankark a11y-mcp jusqu'à la version 1.0.5. Cette vulnérabilité affecte la fonction A11yServer du fichier src/index.js. La manipulation entraîne une falsification de requête côté serveur (SSRF). L'attaque doit être initiée depuis une position locale. L'exploit a été rendu public et pourrait être utilisé. Ce produit fonctionne selon un modèle de publication continue (rolling release), garantissant une livraison continue. Par conséquent, aucune information de version n'est disponible pour les versions affectées ou mises à jour. La mise à niveau vers la version 1.0.6 permet de résoudre ce problème. Le correctif est identifié par le hachage e3e11c9e8482bd06b82fd9fced67be4856f0dffc. Il est recommandé de mettre à niveau le composant affecté. L'éditeur a reconnu le problème mais fournit des informations complémentaires concernant la note CVSS : « a11y-mcp est un serveur MCP stdio local - il ne dispose pas de point de terminaison HTTP et n'est pas accessible via le réseau. L'appelant est toujours l'utilisateur local ou un LLM agissant en son nom avec l'approbation de l'utilisateur. »
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.