A vulnerability was found in TencentCloudBase CloudBase-MCP up to 2.17.0. Affected is the function openUrl of the file mcp/src/interactive-server.ts of the component open-url API Endpoint. The manipulation of the argument req.body.url results in server-side request forgery. It is possible to launch the attack remotely. The exploit has been made public and could be used. Upgrading to version 2.17.1 is able to address this issue. The patch is identified as 3f678a1e7bd400cd76469d61024097d4920dc6b5. It is recommended to upgrade the affected component.
TencentCloudBase CloudBase-MCP versions up to 2.17.0 contain a server-side request forgery (SSRF) vulnerability in the openUrl API endpoint that allows remote attackers to manipulate requests. Upgrading to version 2.17.1 or applying the identified patch resolves this critical issue.
تم اكتشاف ثغرة في TencentCloudBase CloudBase-MCP تسمح بهجمات SSRF من خلال معالجة معاملات URL في نقطة نهاية API openUrl. يمكن للمهاجمين الاستفادة من هذه الثغرة للوصول إلى الموارد الداخلية أو تنفيذ طلبات غير مصرح بها. تم إصدار الإصدار 2.17.1 لمعالجة هذه المشكلة.
تحتوي إصدارات TencentCloudBase CloudBase-MCP حتى 2.17.0 على ثغرة SSRF في نقطة نهاية API openUrl تسمح للمهاجمين بمعالجة الطلبات عن بعد. يؤدي الترقية إلى الإصدار 2.17.1 أو تطبيق الرقعة المحددة إلى حل هذه المشكلة.
Immediately upgrade TencentCloudBase CloudBase-MCP to version 2.17.1 or later. Apply patch 3f678a1e7bd400cd76469d61024097d4920dc6b5 if immediate upgrade is not possible. Implement network segmentation to restrict outbound requests from the affected component. Monitor and validate all URL parameters in the openUrl API endpoint. Disable the openUrl API if not required for business operations.
قم بترقية TencentCloudBase CloudBase-MCP فوراً إلى الإصدار 2.17.1 أو أحدث. طبق الرقعة 3f678a1e7bd400cd76469d61024097d4920dc6b5 إذا لم تكن الترقية الفورية ممكنة. طبق تقسيم الشبكة لتقييد الطلبات الصادرة من المكون المتأثر. راقب وتحقق من جميع معاملات URL في نقطة نهاية API openUrl. عطّل API openUrl إذا لم تكن مطلوبة لعمليات الأعمال.