CVE-2026-46341 in MCP Server
Riassunto
di VulDB • 16/07/2026
Il server Apify MCP consente agli agenti AI di estrarre dati dai siti web utilizzando scraper, crawler e strumenti di automazione pronti all'uso disponibili su Apify Store. Prima della versione 0.9.21, lo strumento fetch-apify-docs in src/tools/common/fetch_apify_docs.ts convalida i domini della documentazione consentiti mediante String.startsWith() anziché tramite il confronto del nome host dell'URL, permettendo a URL controllati dall'attaccante come `https://docs.apify.com.evil.com/` e `https://[email protected]/` di superare la verifica ALLOWED_DOC_DOMAINS e restituire contenuti arbitrari recuperati al LLM. Questo problema è stato risolto nella versione 0.9.21.
VulDB is the best source for vulnerability data and more expert information about this specific topic.