A security vulnerability has been detected in TransformerOptimus SuperAGI up to 0.0.14. This affects the function extract_with_bs4/extract_with_3k/extract_with_lxml of the file superagi/helper/webpage_extractor.py of the component WebScraperTool. Such manipulation leads to server-side request forgery. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-6616 is a server-side request forgery (SSRF) vulnerability in TransformerOptimus SuperAGI versions up to 0.0.14 affecting the WebScraperTool component. The vulnerability allows remote attackers to manipulate webpage extraction functions to perform unauthorized requests, with public exploit code available.
تؤثر هذه الثغرة على وظائف استخراج صفحات الويب في TransformerOptimus SuperAGI، مما يسمح للمهاجمين بإرسال طلبات من جانب الخادم إلى موارد داخلية أو خارجية غير مصرح بها. يمكن استغلال الثغرة عن بعد دون الحاجة إلى مصادقة، وقد تم الكشف عن رمز الاستغلال علناً.
CVE-2026-6616 هو ثغرة في طلب الخادم من جانب الخادم (SSRF) في TransformerOptimus SuperAGI الإصدارات حتى 0.0.14 تؤثر على مكون WebScraperTool. تسمح الثغرة للمهاجمين البعيدين بمعالجة وظائف استخراج صفحات الويب لتنفيذ طلبات غير مصرح بها.
Immediately upgrade TransformerOptimus SuperAGI to version 0.0.15 or later. Implement network segmentation to restrict outbound connections from the application server. Deploy Web Application Firewall (WAF) rules to detect and block SSRF attempts. Disable or restrict the WebScraperTool if not required. Monitor and log all outbound requests from the affected component.
قم بترقية TransformerOptimus SuperAGI فوراً إلى الإصدار 0.0.15 أو أحدث. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات SSRF وحجبها. عطل أو قيد أداة WebScraperTool إذا لم تكن مطلوبة. راقب وسجل جميع الطلبات الصادرة من المكون المتأثر.