Kerentanan  ·  2026-07-06

AIAnytime Awesome-MCP-Server (mcp-wiki) — Server-Side Request Forgery melalui Argumen url

KerentananMedium dampakGlobalCVE-2026-14748
CVE-2026-14748 (CVSS 6.3 Medium, dipublikasikan 2026-07-05) adalah kerentanan SSRF dalam alat server MCP yang merangkum konten wiki, dapat dicapai dengan memanipulasi argumen url yang dilewatkan ke alat.
Server MCP dapat dipanggil langsung oleh agent LLM; SSRF di sini memungkinkan agent yang di-prompt-inject atau berbahaya untuk meminta endpoint metadata cloud internal atau layanan internal dari posisi jaringan server MCP.
Alat ringkasan wiki MCP menerima argumen url yang disediakan penelepon tanpa validasi yang memadai, memungkinkan penyerang membuat server MCP mengeluarkan permintaan ke endpoint internal atau eksternal yang sewenang-wenang (SSRF).
AIAnytime Awesome-MCP-Server, komponen mcp-wiki/wiki-summary (hingga commit a884bb51bcd99e08e14fd712c749d55d9d9a13ab)
Tidak ada versi perbaikan yang dikonfirmasi saat pengungkapan; batasi egress jaringan alat MCP dan validasi/allowlist URL target.
NVD CVE-2026-14748SecurityVulnerability.io CVE-2026-14748
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →