الثغرات ›

CVE-2026-10662

متوسط

CWE-918 — نوع الضعف

                    نُشر: Jun 2, 2026                      ·  آخر تحديث: Jun 5, 2026                      ·  المصدر: NVD                

CVSS v3

6.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was found in ahujasid blender-mcp up to 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. The affected element is the function requests.get of the file src/blender_mcp/server.py of the component ZIP File Handler. The manipulation of the argument zip_file_url results in server-side request forgery. The attack can be executed remotely. The exploit has been made public and could be used. This product implements a rolling release for ongoing delivery, which means version information for affected or updated releases is unavailable. The patch is identified as 5b37be25242e73dc4cf1328974d30458b9e5d67e. It is advisable to implement a patch to correct this issue.

🤖 ملخص AI

CVE-2026-10662 is a Server-Side Request Forgery (SSRF) vulnerability in the blender-mcp ZIP File Handler component affecting versions up to 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. The vulnerability allows remote attackers to manipulate the zip_file_url parameter in requests.get() to perform unauthorized server requests. With a CVSS score of 6.3 (medium) and public exploit availability, this poses a moderate risk to organizations using affected versions, particularly those integrating blender-mcp in their development or automation pipelines.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Jun 4, 2026 08:48

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily impacts Saudi technology companies, software development firms, and digital transformation initiatives utilizing blender-mcp for 3D rendering automation or content processing pipelines. High-risk sectors include: (1) Government digital transformation projects and e-government platforms under NCA oversight; (2) Telecommunications companies (STC, Mobily, Zain) using blender-mcp in media processing; (3) Media and entertainment companies operating under GCAM; (4) Financial technology firms and fintech startups; (5) Cloud service providers hosting development environments. The SSRF vulnerability could enable attackers to access internal network resources, bypass firewalls, or interact with internal services not exposed to the internet.

🏢 القطاعات السعودية المتأثرة

Government & Digital Transformation Telecommunications Media & Entertainment Financial Technology Cloud Service Providers Software Development Digital Content Creation

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1498 - Network Denial of Service T1570 - Lateral Tool Transfer T1021 - Remote Services T1557 - Man-in-the-Middle

⚖️ درجة المخاطر السعودية (AI)

6.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all systems running blender-mcp versions up to 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b

2. Isolate affected systems from production environments if possible

3. Review access logs for suspicious zip_file_url parameter manipulation attempts

4. Implement network segmentation to restrict outbound requests from blender-mcp processes



PATCHING GUIDANCE:

1. Apply patch commit 5b37be25242e73dc4cf1328974d30458b9e5d67e immediately when available

2. Update to the latest rolling release version once patched

3. Test patches in non-production environments before deployment



COMPENSATING CONTROLS (if patch unavailable):

1. Implement Web Application Firewall (WAF) rules to validate zip_file_url parameters

2. Use URL allowlisting to restrict zip_file_url to known, trusted sources only

3. Implement egress filtering to restrict outbound connections from blender-mcp processes

4. Deploy network-level controls to prevent SSRF attacks (block internal IP ranges)

5. Run blender-mcp in containerized environments with restricted network policies



DETECTION RULES:

1. Monitor for requests.get() calls with suspicious zip_file_url parameters (internal IPs, localhost, metadata endpoints)

2. Alert on outbound connections to 169.254.169.254 (AWS/cloud metadata)

3. Track failed connection attempts to internal network ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)

4. Log and analyze all ZIP file handler operations with source/destination tracking

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع الأنظمة التي تقوم بتشغيل blender-mcp حتى الإصدار 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b

2. عزل الأنظمة المتأثرة عن بيئات الإنتاج إن أمكن

3. مراجعة سجلات الوصول للكشف عن محاولات معالجة معامل zip_file_url المريبة

4. تنفيذ تقسيم الشبكة لتقييد الطلبات الصادرة من عمليات blender-mcp

إرشادات التصحيح:

1. تطبيق تصحيح الالتزام 5b37be25242e73dc4cf1328974d30458b9e5d67e فوراً عند توفره

2. التحديث إلى أحدث إصدار إصدار متدحرج بمجرد إصلاحه

3. اختبار التصحيحات في بيئات غير الإنتاج قبل النشر

الضوابط البديلة (إذا لم يكن التصحيح متاحاً):

1. تنفيذ قواعد جدار حماية تطبيقات الويب للتحقق من صحة معاملات zip_file_url

2. استخدام قائمة السماح بعناوين URL لتقييد zip_file_url على مصادر موثوقة معروفة فقط

3. تنفيذ تصفية الخروج لتقييد الاتصالات الصادرة من عمليات blender-mcp

4. نشر عناصر تحكم على مستوى الشبكة لمنع هجمات SSRF

5. تشغيل blender-mcp في بيئات حاوية مع سياسات شبكة مقيدة

قواعد الكشف:

1. مراقبة استدعاءات requests.get() مع معاملات zip_file_url المريبة

2. التنبيه على الاتصالات الصادرة إلى نقاط نهاية البيانات الوصفية

3. تتبع محاولات الاتصال الفاشلة بنطاقات الشبكة الداخلية

4. تسجيل وتحليل جميع عمليات معالج ملفات ZIP

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.14.2.1 - Information security requirements for supplier relationships ECC 2024 A.14.2.5 - Addressing information security in supplier agreements ECC 2024 A.12.6.1 - Management of technical vulnerabilities ECC 2024 A.12.2.1 - Secure development policy

🔵 SAMA CSF

SAMA CSF ID.BE-3 - Organizational resilience objectives SAMA CSF PR.DS-6 - Data is protected from unauthorized access SAMA CSF DE.CM-1 - The network is monitored to detect potential cybersecurity events SAMA CSF RS.MI-2 - Incidents are mitigated

🟡 ISO 27001:2022

ISO 27001:2022 A.5.23 - Information security for supplier relationships ISO 27001:2022 A.8.1 - Organizational controls ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities ISO 27001:2022 A.14.2.1 - Secure development policy and procedures

🟣 PCI DSS v4.0.1

PCI DSS 6.2 - Ensure all system components and software are protected from known vulnerabilities PCI DSS 6.3.1 - Identify and implement security patches for system components

🔗 المراجع والمصادر 8

🔗

https://github.com/ahujasid/blender-mcp/

cna@vuldb.com

🔗

https://github.com/ahujasid/blender-mcp/issues/203

cna@vuldb.com

🔗

https://github.com/ahujasid/blender-mcp/pull/205

cna@vuldb.com

🔗

https://github.com/bergskenop/blender-mcp/commit/5b37be25242e73dc4cf1328974d30458b9e5d67e

cna@vuldb.com

🔗

https://vuldb.com/cve/CVE-2026-10662

cna@vuldb.com

🔗

https://vuldb.com/submit/830488

cna@vuldb.com

🔗

https://vuldb.com/vuln/367957

cna@vuldb.com

🔗

https://vuldb.com/vuln/367957/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.3

CWECWE-918

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-06-02

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-10662

عرّفنا بنفسك

تسجيل الدخول مطلوب