CVE-2026-46341 in MCP Server
Tóm tắt
Bởi VulDB • 16/07/2026
Máy chủ Apify MCP cho phép các tác nhân AI trích xuất dữ liệu từ các trang web bằng cách sử dụng các công cụ thu thập (scrapers), trình lập chỉ mục (crawlers) và công cụ tự động hóa có sẵn trên Apify Store. Trước phiên bản 0.9.21, công cụ `fetch-apify-docs` trong tệp `src/tools/common/fetch_apify_docs.ts` xác thực các tên miền tài liệu được phép sử dụng hàm `String.startsWith()` thay vì so sánh hostname của URL, cho phép các URL do kẻ tấn công kiểm soát như `https://docs.apify.com.evil.com/` và `https://[email protected]/` vượt qua kiểm tra `ALLOWED_DOC_DOMAINS` và trả về nội dung tùy ý đã được lấy về cho LLM. Vấn đề này đã được sửa trong phiên bản 0.9.21.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.