MCP-Chat-Studio 服务端请求伪造 (SSRF) 漏洞总结 1. 漏洞概述 漏洞名称: MCP-Chat-Studio Server-Side Request Forgery Vulnerability #4 漏洞类型: 服务端请求伪造 (SSRF) CVE ID: CVE-918 发现者: wing3e (独立安全研究员) 报告日期: 2026年3月15日 漏洞描述: 应用程序的 和 端点存在 SSRF 漏洞。攻击者可以通过控制 或 参数,将受控的 URL 传递给 或 函数。这导致服务器向攻击者指定的目标(包括回环地址、内网地址或云元数据服务)发起 HTTP 请求,从而可能泄露敏感内部资源。 2. 影响范围 受影响组件: 受影响版本: 1.5.0 及包含相同请求-接收流的其他版本。 安全影响: 机密性: 高(可访问内部 HTTP 服务或元数据端点)。 完整性: 中到强(取决于内部 API 是否接受状态更改请求)。 可用性: 低到中(通过请求泛洪、内部服务交互或不受控的长轮询)。 CVSS v3.1 建议: 基础评分 8.6 (High)。 3. 修复方案 消除直接请求: 消除文档中记录的从请求到接收器的直接数据流。 模式验证: 在 MCP 或 HTTP 参数进入应用程序的边界处引入模式验证。 回归测试: 添加回归测试,证明受控值无法到达进程执行接收器或任意出站请求接收器。 安全公告: 在补丁发布后发布带有明确修复版本的安全公告。 缓解措施: 应用严格的 URL 白名单(限制 scheme, host, port, path)。 在 DNS 解析和重定向处理后拒绝回环、内网、RFC1918 和云元数据目标。 禁用业务逻辑不需要的任意用户提供的 fetch 或导航目标。 在敏感 MCP/HTTP 处理程序周围添加认证、授权、审计日志和速率限制。 4. 概念验证 (POC) 代码 POC A: 直接 SSRF (通过模型列表覆盖) POC B: 工作流执行 (通过攻击者提供的 LLM 基础 URL)**