CVE-2026-44661

Nome do Software Vulnerável e Versões Afetadas python-utcp versões anteriores a 1.1.3

Description O plugin utcp-http está sujeito a um Server-Side Request Forgery (SSRF) cego, uma falha onde um invasor pode induzir o servidor a fazer requisições para um local não pretendido. Isso ocorre devido a uma inconsistência de limite de confiança entre a descoberta manual e a invocação de ferramentas. Enquanto a função register manual() valida a URL de descoberta contra uma lista de permissões HTTPS ou loopback, as funções call tool() e call tool streaming() reutilizam a tool call template.url resolvida sem revalidação. Além disso, o conversor OpenAPI confia no servers[0].url declarado em uma especificação hospedada por um invasor. Um invasor que hospede uma especificação OpenAPI maliciosa em um endpoint HTTPS legítimo pode declarar endereços internos, como http://127.0.0.1:9090 ou http://169.254.169.254, fazendo com que o conversor produza ferramentas que apontam para serviços internos no host do agente. Essa lacuna afeta os protocolos utcp http.http, utcp http.streamable http e utcp http.sse. Existia também um bypass de prefixo separado onde uma verificação usando startswith("http://localhost") permitia a passagem de URLs como http://localhost.evil.com.

Recommendations Atualize para a versão 1.1.3. Recuse-se a chamar register manual() com qualquer URL controlada por terceiros não confiáveis, mesmo via HTTPS. Restrinja o acesso de rede externo do host que executa o agente para garantir que endereços internos, como RFC1918, 169.254.0.0/16 e loopback para metadados de nuvem, fiquem inacessíveis.