CVE-2026-46341 in MCP Serverthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Máy chủ Apify MCP cho phép các tác nhân AI trích xuất dữ liệu từ các trang web bằng cách sử dụng các công cụ thu thập (scrapers), trình lập chỉ mục (crawlers) và công cụ tự động hóa có sẵn trên Apify Store. Trước phiên bản 0.9.21, công cụ `fetch-apify-docs` trong tệp `src/tools/common/fetch_apify_docs.ts` xác thực các tên miền tài liệu được phép sử dụng hàm `String.startsWith()` thay vì so sánh hostname của URL, cho phép các URL do kẻ tấn công kiểm soát như `https://docs.apify.com.evil.com/` và `https://[email protected]/` vượt qua kiểm tra `ALLOWED_DOC_DOMAINS` và trả về nội dung tùy ý đã được lấy về cho LLM. Vấn đề này đã được sửa trong phiên bản 0.9.21.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

13/05/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you know our Splunk app?

Download it now for free!