CVE-2026-49138— Nanobot 0.2.1 以下 web_fetch 工具 SSRF 漏洞
Possible ATT&CK Techniques 1AI
T1190 · Exploit Public-Facing Application新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-49138の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Nanobot < 0.2.1 SSRF via web_fetch Tool Redirect Following
ソース: NVD (National Vulnerability Database)
脆弱性説明
Nanobot prior to version 0.2.1 contains a server-side request forgery vulnerability in the web_fetch tool that allows remote attackers to reach internal or private network hosts by supplying a URL that redirects to a loopback or private address via a 3xx Location header. Attackers can exploit the automatic HTTP redirect following behavior in the httpx library to bypass initial URL validation and cause the runtime to send outbound requests to internal hosts before final resolved URL validation is applied.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
服务端请求伪造(SSRF)
ソース: NVD (National Vulnerability Database)
影響を受ける製品
II. CVE-2026-49138の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-49138のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-49138 补丁与修复 (2)
CVE-2026-49138 概念验证 (1)
CVE-2026-49138 其他参考 (1)
Same Patch Batch · HKUDS · 2026-06-01 · 3 CVEs total
| CVE-2026-49140 | 4.3 MEDIUM | Nanobot < 0.2.1 Denial of Service via Matrix Media Download Handler |
| CVE-2026-49139 | Nanobot < 0.2.1 SSRF via Microsoft Teams Channel serviceUrl Poisoning |
IV. 関連脆弱性
同じ製品: nanobot
- CVE-2026-49140
Nanobot < 0.2.1 Denial of Service via Matrix Media Download - CVE-2026-49139
Nanobot < 0.2.1 SSRF via Microsoft Teams Channel serviceUrl - CVE-2026-35589
nanobot: Cross-Site WebSocket Hijacking in WhatsApp Bridge ( - CVE-2026-33654
Zero-Click Indirect Prompt Injection and Authentication Bypa - CVE-2026-2577
Nanobot Unauthenticated WhatsApp Session Hijack via WebSocke
同じベンダー: HKUDS
- CVE-2026-49140
Nanobot < 0.2.1 Denial of Service via Matrix Media Download - CVE-2026-49139
Nanobot < 0.2.1 SSRF via Microsoft Teams Channel serviceUrl - CVE-2026-32847
DeepCode 1.2.0 Path Traversal via SPA Catch-All Route in mai - CVE-2026-7551
HKUDS OpenHarness Remote Command Execution via /bridge Slash - CVE-2026-6823
HKUDS OpenHarness Insecure Default Remote Channel Allowlist
同じ弱点: CWE-918
- CVE-2026-49139
Nanobot < 0.2.1 SSRF via Microsoft Teams Channel serviceUrl - CVE-2026-10287
SourceCodester SEO Meta Tag Extractor index.php get_headers - CVE-2026-10280
horizon921 mcpilot MCP API Call Endpoint route.ts server-sid - CVE-2026-10276
hekmon8 Jenkins-server-mcp get_build_status/get_build_log/tr - CVE-2026-10274
indrasishbanerjee aem-mcp-server Axios Request Flow mcp-serv
V. CVE-2026-49138へのコメント
まだコメントはありません