CVE-2026-46341 in MCP Server
Sumário
de VulDB • 16/07/2026
O servidor Apify MCP permite que agentes de IA extraiam dados de sites usando scrapers, crawlers e ferramentas de automação prontos para uso disponíveis na Apify Store. Antes da versão 0.9.21, a ferramenta fetch-apify-docs em src/tools/common/fetch_apify_docs.ts valida os domínios de documentação permitidos (allowlisted) utilizando String.startsWith() em vez de uma comparação do hostname da URL, permitindo que URLs controladas pelo atacante, como `https://docs.apify.com.evil.com/` e `https://[email protected]/`, passem na verificação ALLOWED_DOC_DOMAINS e retornem conteúdo arbitrário buscado para o LLM. Este problema foi corrigido na versão 0.9.21.
Once again VulDB remains the best source for vulnerability data.