Eharris128

**Nome do Software Vulnerável e Versões Afetadas** Versões do vet anteriores a 1.12.5 **Descrição** O software é suscetível a um ataque de DNS rebinding devido à falta de validação dos cabeçalhos HTTP `Host` e `Origin`. Quando usado como um servidor MCP no modo SSE com portas padrão, o banco de dados `sqlite3` contendo dados de varredura pode ser exposto a atacantes remotos. Um atacante pode aproveitar o DNS rebinding para acessar o servidor SSE do `vet` em `127.0.0.1` através de um site e usar ferramentas MCP para ler informações do banco de dados de relatórios. O componente vulnerável é o servidor SSE. O endpoint da API usado para exploração não é especificado. Os parâmetros vulneráveis são os cabeçalhos `Host` e `Origin`. **Recomendações** Atualize para a versão 1.12.5 ou posterior. Use o transporte `stdio` para o servidor SSE.

**Nome do Software Vulnerável e Versões Afetadas** Versões do AgentAPI 0.3.3 e anteriores **Descrição** O AgentAPI, uma API HTTP para Claude Code, Goose, Aider, Gemini, Amp e Codex, é suscetível a um ataque de rebinding de DNS no lado do cliente quando hospedado via HTTP simples no localhost. Um atacante pode obter acesso ao endpoint `/messages` servido pela Agent API, potencialmente levando à exfiltração não autorizada de dados sensíveis do usuário, incluindo o histórico de mensagens local. Este histórico de mensagens pode conter chaves secretas, conteúdos do sistema de arquivos e propriedade intelectual. O problema está relacionado à falta de validação dos cabeçalhos `Origin` e `Host`. **Recomendações** Atualize para a versão 0.4.0 ou posterior do AgentAPI.