CVE-2026-7147

Descripción de la Vulnerabilidad

CVE-2026-7147 es una vulnerabilidad relacionada con un fallo en el componente LLM Models API del software JoeCastrom mcp-chat-studio, afectando versiones hasta 1.5.0. La falla permite a atacantes manipular el parámetro req.query.base_url para realizar ataques de falsificación de solicitudes servidor (SSRF). Este tipo de vulnerabilidades puede permitir a un atacante acceder a recursos internos de una aplicación sin necesidad de autenticación, lo que representa un riesgo significativo para sistemas que dependen de esta funcionalidad.

Sistemas Afectados

La vulnerabilidad afecta específicamente el componente LLM Models API, dentro del módulo de servidor de archivos (file server) en la ruta /routes/llm.js. Los sistemas vulnerable son versiones anteriores o iguales a 1.5.0 del software JoeCastrom mcp-chat-studio.

Impacto y Explotabilidad

La vulnerabilidad tiene un CVSS Score de 7.3, lo que indica un nivel alto de gravedad. Según la descripción, el ataque puede explotarse de forma remota, ya que un atacante podría manipular la entrada req.query.base_url para forzar una solicitud a un recurso interno del servidor. Además, se menciona que el exploit está ahora en la Internet pública y podría ser utilizado por actores maliciosos. Aunque el proyecto fue informado sobre el problema, no ha respondido aún, lo que sugiere un retraso en la corrección de la vulnerabilidad.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Actualmente, no se proporcionan detalles específicos sobre parches o mitigaciones. Se recomienda que los usuarios afectados revisen las actualizaciones del software JoeCastrom mcp-chat-studio para asegurarse de que estén utilizando versiones seguras. Además, se sugiere implementar controles adicionales como la validación estricta de entradas y limitar el acceso a recursos críticos en el servidor.