CVE-2026-45366 in typescript-utcp信息

摘要

由 VulDB • 2026-05-30

typescript-utcp 是 UTCP 的 TypeScript 实现。在 1.1.2 版本之前,@utcp/http 包存在盲服务器端请求伪造(SSRF)漏洞,该漏洞由手动发现与工具调用之间的信任边界不一致引起。registerManual() 函数会根据 HTTPS/回环(loopback)白名单验证发现 URL,但 callTool() 函数会直接重用已解析的 toolCallTemplate.url,而不再进行重新验证;同时,OpenApiConverter 会盲目信任攻击者托管的规范中声明的 servers[0].url。攻击者可以在合法的 HTTPS 端点上托管恶意 OpenAPI 规范,例如声明 servers: [{ url: "http://127.0.0.1:9090" }] 或 servers: [{ url: "http://169.254.169.254" }];随后,转换器会生成 URL 指向代理主机上内部服务的工具。此漏洞已在 1.1.2 版本中修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-12

披露

2026-05-29

管理

已接受

条目

VDB-367140

EPSS

0.00029

KEV

活动

来源

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45366
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45366
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45366/

上一步一览下一步

Want to know what is going to be exploited?

We predict KEV entries!