CVE-2026-45366

Nome do Software Vulnerável e Versões Afetadas @utcp/http versões anteriores a 1.1.2

Description O pacote @utcp/http está sujeito a um Server-Side Request Forgery (SSRF) cego, uma falha onde um invasor pode forçar o servidor a fazer requisições para um local não pretendido. Isso é causado por uma inconsistência de limite de confiança entre a descoberta manual e a invocação de ferramentas. Enquanto a função registerManual() valida a URL de descoberta contra uma lista de permissões HTTPS ou loopback, a função callTool() reutiliza a toolCallTemplate.url resolvida sem revalidação. Além disso, o OpenApiConverter confia no servers[0].url declarado em uma especificação hospedada por um invasor. Um invasor que hospede uma especificação OpenAPI maliciosa em um endpoint HTTPS legítimo pode declarar URLs internas, como http://127.0.0.1:9090 ou http://169.254.169.254, levando o conversor a produzir ferramentas que apontam para serviços internos no host do agente. Também existia um bypass de prefixo onde a guarda startsWith('http://localhost') permitia a passagem de URLs como http://localhost.evil.com. Isso pode permitir que invasores mapeiem redes internas, leiam credenciais de metadados de nuvem ou acessem serviços internos não autenticados.

Recommendations Atualize para a versão 1.1.2. Recuse-se a chamar registerManual() com qualquer URL controlada por terceiros não confiáveis, mesmo via HTTPS. Restrinja o acesso de rede de saída do host que executa o agente para garantir que endereços internos (RFC1918, 169.254.0.0/16, loopback) fiquem inacessíveis.