PT-2026-45869 · Unknown · Blender-Mcp
Skywings
·
Publicado
2026-06-02
·
Atualizado
2026-06-04
·
CVE-2026-10662
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
ahujasid blender-mcp versões anteriores a 5b37be25242e73dc4cf1328974d30458b9e5d67e
Descrição
Uma falsificação de solicitação do lado do servidor (Server-side request forgery) pode ser executada remotamente através do componente ZIP File Handler. O problema reside na função
requests.get() no arquivo src/blender mcp/server.py, onde a manipulação do argumento zip file url permite o ataque.Recomendações
Aplicar o patch 5b37be25242e73dc4cf1328974d30458b9e5d67e.
Como medida paliativa temporária, restrinja o acesso ao componente ZIP File Handler ou evite o uso do argumento
zip file url na função requests.get().Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Blender-Mcp