PT-2026-36019 · Algovate · Xhs-Mcp
Eternity
·
Publicado
2026-04-29
·
Atualizado
2026-04-30
·
CVE-2026-7417
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
Algovate xhs-mcp versão 0.8.11
Descrição
Um problema existe no componente MCP Interface, na função
xhs publish content() do arquivo src/server/mcp.server.ts. Um invasor remoto pode realizar server-side request forgery (SSRF)—uma falha que permite que um servidor seja coagido a fazer requisições não pretendidas—através da manipulação do argumento media paths.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Como medida paliativa temporária, restrinja o uso da função
xhs publish content() ou valide rigorosamente o argumento media paths para minimizar o risco de exploração.Exploit
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xhs-Mcp