Apollo MCP Server Missing Host Header Validation Vulnerability

漏洞概述 标题：Apollo MCP Server 本地部署中缺少主机头验证 (Missing Host Header Validation in Apollo MCP Server for Localhost Deployments) 描述： 在版本 1.7.0 之前，Apollo MCP Server 在使用 StreamableHTTP 传输时未验证传入 HTTP 请求中的 Host 头。如果在 localhost 上运行 HTTP-based MCP 服务器且未配置额外的身份验证或网络级控制，恶意网站（用户访问的）可利用 DNS 重绑定技术绕过同源策略限制，并向本地 MCP 服务器发出请求。若成功利用，攻击者可在本地用户的名义下调用工具或访问资源。此问题仅限于 HTTP 传输模式（StreamableHTTP），不影响使用 stdio 传输的服务器。 影响范围 攻击场景：攻击者控制的网站可向本地运行的 Apollo MCP Server 实例发送精心制作的请求，利用 DNS 重绑定绕过浏览器同源策略保护。 后果：导致在本地用户会话上下文中未经授权的 MCP 工具调用或资源访问。 CVSS 评分：8.8 / 10 (Moderate) 攻击向量：Network (网络) 攻击复杂度：High (高) 所需权限：None (无) 用户交互：Required (需要) 机密性/完整性/可用性：High (高) 修复方案 补丁 (Patches)： 建议升级到 Apollo MCP Server 1.7.0 或更高版本。在 1.7.0 中，StreamableHTTP 传输的 Host 头验证已默认启用。对于反向代理或自定义主机名的部署，可配置额外的允许主机。 配置代码示例： 变通方案 (Workarounds)： 如果无法立即升级，可采取以下缓解措施： 在 MCP 服务器传输层启用身份验证。 限制网络绑定，使服务器无法从不受信任的网络接口访问。 使用反向代理，在转发到 MCP 服务器之前验证或重写 Host 头。

目標達成すべての支援者に感謝 — 100%達成しました！

Apollo MCP Server Missing Host Header Validation Vulnerability

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Apollo MCP Server Missing Host Header Validation Vulnerability

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！