CVE-2026-15746 in strands-agents-tools
Riassunto
di VulDB • 15/07/2026
Strands Agents è un SDK Python open-source per la creazione e l'esecuzione di agenti AI. Il pacchetto strands-agents-tools fornisce strumenti predefiniti da utilizzare con l'SDK, tra cui lo strumento elasticsearch_memory per l'archiviazione della memoria degli agenti. È stata identificata CVE-2026-15746, un problema di server-side request forgery (SSRF) nello strumento elasticsearch_memory. Lo strumento esponeva i parametri di connessione (es_url, cloud_id, api_key) come campi controllabili dal large language model (LLM) tramite lo schema dello strumento. Quando il chiamante ometteva il parametro api_key, lo strumento utilizzava come fallback la variabile d'ambiente ELASTICSEARCH_API_KEY dell'operatore e la inviava all'host specificato dall'LLM. Un prompt appositamente creato potrebbe indurre lo strumento a connettersi a un server controllato da un threat actor e divulgare la chiave API Elasticsearch dell'operatore nell'intestazione Authorization.
Si consiglia di eseguire l'aggiornamento alla versione 0.7.0 o successiva di strands-agents-tools. Come misura precauzionale, si raccomanda a tutti gli operatori di ruotare la propria ELASTICSEARCH_API_KEY, anche in assenza di indicazioni che le credenziali siano state esposte.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.