الثغرات ›

CVE-2026-7221

مرتفع

CWE-918 — نوع الضعف

                    نُشر: Apr 28, 2026                      ·  آخر تحديث: May 5, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was found in TencentCloudBase CloudBase-MCP up to 2.17.0. Affected is the function openUrl of the file mcp/src/interactive-server.ts of the component open-url API Endpoint. The manipulation of the argument req.body.url results in server-side request forgery. It is possible to launch the attack remotely. The exploit has been made public and could be used. Upgrading to version 2.17.1 is able to address this issue. The patch is identified as 3f678a1e7bd400cd76469d61024097d4920dc6b5. It is recommended to upgrade the affected component.

🤖 ملخص AI

TencentCloudBase CloudBase-MCP versions up to 2.17.0 contain a server-side request forgery (SSRF) vulnerability in the openUrl API endpoint that allows remote attackers to manipulate requests. Upgrading to version 2.17.1 or applying the identified patch resolves this critical issue.

📄 الوصف (العربية)

تم اكتشاف ثغرة في TencentCloudBase CloudBase-MCP تسمح بهجمات SSRF من خلال معالجة معاملات URL في نقطة نهاية API openUrl. يمكن للمهاجمين الاستفادة من هذه الثغرة للوصول إلى الموارد الداخلية أو تنفيذ طلبات غير مصرح بها. تم إصدار الإصدار 2.17.1 لمعالجة هذه المشكلة.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات TencentCloudBase CloudBase-MCP حتى 2.17.0 على ثغرة SSRF في نقطة نهاية API openUrl تسمح للمهاجمين بمعالجة الطلبات عن بعد. يؤدي الترقية إلى الإصدار 2.17.1 أو تطبيق الرقعة المحددة إلى حل هذه المشكلة.

🤖 التحليل الذكي آخر تحليل: May 5, 2026 20:33

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government banking energy

🎯 تقنيات MITRE ATT&CK

T1190 T1498 T1570

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade TencentCloudBase CloudBase-MCP to version 2.17.1 or later. Apply patch 3f678a1e7bd400cd76469d61024097d4920dc6b5 if immediate upgrade is not possible. Implement network segmentation to restrict outbound requests from the affected component. Monitor and validate all URL parameters in the openUrl API endpoint. Disable the openUrl API if not required for business operations.

🔧 خطوات المعالجة (العربية)

قم بترقية TencentCloudBase CloudBase-MCP فوراً إلى الإصدار 2.17.1 أو أحدث. طبق الرقعة 3f678a1e7bd400cd76469d61024097d4920dc6b5 إذا لم تكن الترقية الفورية ممكنة. طبق تقسيم الشبكة لتقييد الطلبات الصادرة من المكون المتأثر. راقب وتحقق من جميع معاملات URL في نقطة نهاية API openUrl. عطّل API openUrl إذا لم تكن مطلوبة لعمليات الأعمال.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.3 5.4

🔵 SAMA CSF

CC-6.1 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 8

🔗

https://github.com/TencentCloudBase/CloudBase-MCP/

cna@vuldb.com

🔗

https://github.com/TencentCloudBase/CloudBase-MCP/commit/3f678a1e7bd400cd76469d61024097...

cna@vuldb.com

🔗

https://github.com/TencentCloudBase/CloudBase-MCP/issues/509

cna@vuldb.com

🔗

https://github.com/TencentCloudBase/CloudBase-MCP/pull/510

cna@vuldb.com

🔗

https://github.com/TencentCloudBase/CloudBase-MCP/releases/tag/v2.17.1

cna@vuldb.com

🔗

https://vuldb.com/submit/802230

cna@vuldb.com

🔗

https://vuldb.com/vuln/359821

cna@vuldb.com

🔗

https://vuldb.com/vuln/359821/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-918

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-918

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-7221

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب