CVE-2025-59956

Nome do Software Vulnerável e Versões Afetadas Versões do AgentAPI 0.3.3 e anteriores

Descrição O AgentAPI, uma API HTTP para Claude Code, Goose, Aider, Gemini, Amp e Codex, é suscetível a um ataque de rebinding de DNS no lado do cliente quando hospedado via HTTP simples no localhost. Um atacante pode obter acesso ao endpoint /messages servido pela Agent API, potencialmente levando à exfiltração não autorizada de dados sensíveis do usuário, incluindo o histórico de mensagens local. Este histórico de mensagens pode conter chaves secretas, conteúdos do sistema de arquivos e propriedade intelectual. O problema está relacionado à falta de validação dos cabeçalhos Origin e Host.

Recomendações Atualize para a versão 0.4.0 ou posterior do AgentAPI.