CVE-2026-7146

CVE-2026-7146 es una vulnerabilidad reportada en el componente "HTTP Request Handler" de la aplicación AlejandroArciniegas mcp-data-vis, afectando versiones hasta de5a51525a69822290eaee569a1ab447b490746d. La vulnerabilidad permite el ataque de manipulación de solicitudes de servidor (SSRF) y puede ser explotada de forma remota.

Descripción de la Vulnerabilidad

La vulnerabilidad surge en la función axios del archivo src/servers/web-scraper/server.js, específicamente en el componente "HTTP Request Handler". Esta falla permite a un atacante manipular solicitudes de servidor, lo que podría llevar a la violación de la seguridad de sistemas afectados.

Sistemas Afectados

El componente AlejandroArciniegas mcp-data-vis en versiones anteriores al commit de5a51525a69822290eaee569a1ab447b490746d está afectado. La vulnerabilidad se relaciona con el manejo de solicitudes HTTP en aplicaciones que utilizan este componente.

Impacto y Explotabilidad

La vulnerabilidad tiene un impacto moderado, con un puntaje CVSS de 7.3. Permite a atacantes llevar a cabo ataques de tipo SSRF, lo que podría permitir la accesibilidad a recursos internos o servicios no intencionados del sistema. El exploit ha sido discubierto y está disponible públicamente.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Se recomienda actualizar a la última versión del componente AlejandroArciniegas mcp-data-vis, ya que el producto opera en un modelo de liberación continua. Los usuarios deben revisar las actualizaciones oficiales para aplicar parches que resuelvan esta vulnerabilidad.