CVE-2026-46341 in MCP Serverinformação

Sumário

de VulDB • 16/07/2026

O servidor Apify MCP permite que agentes de IA extraiam dados de sites usando scrapers, crawlers e ferramentas de automação prontos para uso disponíveis na Apify Store. Antes da versão 0.9.21, a ferramenta fetch-apify-docs em src/tools/common/fetch_apify_docs.ts valida os domínios de documentação permitidos (allowlisted) utilizando String.startsWith() em vez de uma comparação do hostname da URL, permitindo que URLs controladas pelo atacante, como `https://docs.apify.com.evil.com/` e `https://[email protected]/`, passem na verificação ALLOWED_DOC_DOMAINS e retornem conteúdo arbitrário buscado para o LLM. Este problema foi corrigido na versão 0.9.21.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

13/05/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379595

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!