CVE-2026-46341 in MCP Server
要約
〜によって VulDB • 2026年07月16日
Apify MCPサーバーは、AIエージェントがApifyストアで利用可能な既製のスクレイパー、クローラー、および自動化ツールを使用してウェブサイトからデータを抽出することを可能にします。バージョン0.9.21より前では、src/tools/common/fetch_apify_docs.ts内のfetch-apify-docsツールは、許可されたドキュメントドメインの検証にURLホスト名の比較ではなくString.startsWith()を使用していたため、攻撃者が制御する`https://docs.apify.com.evil.com/`や`https://[email protected]/`といったURLがALLOWED_DOC_DOMAINSチェックを通過し、任意の内容がLLMへ返される可能性があります。この問題はバージョン0.9.21で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.