Уязвимость была обнаружена в priyankark a11y-mcp до версии 1.0.5. Эта уязвимость затрагивает функцию A11yServer файла src/index.js. Результатом манипуляции является подделка запроса на стороне сервера.
Атака должна быть начата с местной позиции. Эксплойт был обнародован и может быть использован. Этот продукт работает по принципу непрерывного выпуска, что обеспечивает непрерывную доставку.
Следовательно, нет сведений о версиях ни для затронутых, ни для обновленных выпусков. Обновление до версии 1.0.6 может решить эту проблему. Патч идентифицируется как e3e11c9e8482bd06b82fd9fced67be4856f0dffc.
Рекомендуется обновить затронутый компонент. Поставщик признал проблему, но предоставил дополнительный контекст для рейтинга CVSS: «a11y-mcp — это локальный сервер stdio MCP, он не имеет конечной точки HTTP и не доступен по сети. Вызывающий абонент всегда является локальным пользователем или LLM, действующим от его имени с одобрения пользователя».
Показать оригинальное описание (EN)
A vulnerability was found in priyankark a11y-mcp up to 1.0.5. This vulnerability affects the function A11yServer of the file src/index.js. The manipulation results in server-side request forgery. The attack must be initiated from a local position. The exploit has been made public and could be used. This product operates on a rolling release basis, ensuring continuous delivery. Consequently, there are no version details for either affected or updated releases. Upgrading to version 1.0.6 is able to resolve this issue. The patch is identified as e3e11c9e8482bd06b82fd9fced67be4856f0dffc. It is recommended to upgrade the affected component. The vendor acknowledged the issue but provides additional context for the CVSS rating: "a11y-mcp is a local stdio MCP server - it has no HTTP endpoint and is not network-accessible. The caller is always the local user or an LLM acting on their behalf with user approval."
Характеристики атаки
Последствия
Строка CVSS v4.0