漏洞总结:dh1011 auto-favicon 1.0.1 Server-Side Request Forgery 漏洞概述 漏洞编号:#802054 漏洞类型:服务端请求伪造(SSRF) 漏洞描述: 工具中的 MCP 工具接受任意 ,创建新的 aiohttp.ClientSession(),并执行 ,未对目标进行任何限制验证。攻击者可以构造恶意 URL 指向内网地址(如 、 、 等),从而读取内网资源或发起 SSRF 攻击。 影响范围 受影响组件: 工具 受影响版本: 版本 影响描述:攻击者可通过构造恶意 参数,实现 SSRF,读取内网资源或探测内网服务。 修复方案 修复建议:对 参数进行严格的 URL 校验,限制只能访问合法的公网地址,禁止访问内网地址(如 、 、 等)。 参考链接:GitHub Issue #2 POC 代码