CVE-2026-7221
CVE-2026-7221 es una vulnerabilidad reportada en el componente TencentCloudBase CloudBase-MCP, afectando versiones hasta 2.17.0. La falla está relacionada con la funcionalidad openUrl del archivo mcp/src/interactive-server.ts, específicamente con el endpoint de la API open-url. Esta vulnerabilidad permite a un atacante realizar ataques de falso requerimiento en el servidor (SSRF) al manipular el parámetro req.body.url.
Descripción de la Vulnerabilidad
La vulnerabilidad se origina en la forma en que el componente maneja la entrada del usuario en el endpoint open-url. Un atacante puede aprovechar esta falla para enviar solicitudes maliciosas al servidor, lo que podría permitirle acceder a recursos internos o incluso comprometer la seguridad de la aplicación. La vulnerabilidad tiene un CVSS 7.3, lo que indica un impacto moderado pero significativo.
Sistemas Afectados
El componente TencentCloudBase CloudBase-MCP en versiones anteriores a la 2.17.0 está afectado. Específicamente, el archivo mcp/src/interactive-server.ts contiene la función openUrl, que forma parte de la API open-url. Los sistemas que integran este componente sin actualizaciones pueden ser vulnerables.
Impacto y Explotabilidad
La vulnerabilidad permite a un atacante llevar a cabo ataques remotos mediante la manipulación del parámetro req.body.url. Esto puede dar lugar a una explotación de seguridad que permita al atacante acceder a recursos internos o comprometer la confianza del sistema. La vulnerabilidad ha sido publicada y está disponible para su uso, lo que exige acciones inmediatas de corrección.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación y Parches
La solución más efectiva es actualizar el componente TencentCloudBase CloudBase-MCP a la versión 2.17.1, que incluye el parche con el commit hash 3f678a1e7bd400cd76469d61024097d4920dc6b5. Además, se recomienda monitorear las solicitudes de entrada y aplicar patches en tiempo real para prevenir la explotación de esta vulnerabilidad.