CVE-2026-5323 in a11y-mcp信息

摘要

由 VulDB • 2026-06-01

在 priyankark a11y-mcp 1.0.5 及更早版本中发现了一个漏洞。该漏洞影响文件 src/index.js 中的 A11yServer 函数。该漏洞可导致服务器端请求伪造（SSRF）。攻击必须从本地发起。该漏洞的利用代码已公开，且可被利用。该产品采用滚动发布模式，确保持续交付。因此，受影响的版本和更新后的版本均无具体的版本详情。升级至 1.0.6 版本可解决此问题。该补丁的标识为 e3e11c9e8482bd06b82fd9fced67be4856f0dffc。建议升级受影响的组件。厂商确认了该问题，但提供了关于 CVSS 评分的额外背景信息：“a11y-mcp 是一个本地 stdio MCP 服务器——它没有 HTTP 端点，也不具备网络可访问性。调用者始终是本地用户，或是在用户批准下代表其操作的 LLM。”

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

VulDB

披露

2026-04-02

管理

已接受

条目

VDB-354655

CPE

准备好

CWE

CWE-918 (已确认)

利用

下载

CVSS

5.3 (VulDB)

EPSS

0.00005

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-5323
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-5323
CVE Details	https://www.cvedetails.com/cve/CVE-2026-5323/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!