Apa yang terjadi
CVE-2026-14748 (CVSS 6.3 Medium, dipublikasikan 2026-07-05) adalah kerentanan SSRF dalam alat server MCP yang merangkum konten wiki, dapat dicapai dengan memanipulasi argumen url yang dilewatkan ke alat.
Mengapa penting
Server MCP dapat dipanggil langsung oleh agent LLM; SSRF di sini memungkinkan agent yang di-prompt-inject atau berbahaya untuk meminta endpoint metadata cloud internal atau layanan internal dari posisi jaringan server MCP.
Vektor serangan
Alat ringkasan wiki MCP menerima argumen url yang disediakan penelepon tanpa validasi yang memadai, memungkinkan penyerang membuat server MCP mengeluarkan permintaan ke endpoint internal atau eksternal yang sewenang-wenang (SSRF).
Sistem yang terdampak
AIAnytime Awesome-MCP-Server, komponen mcp-wiki/wiki-summary (hingga commit a884bb51bcd99e08e14fd712c749d55d9d9a13ab)
Mitigasi
Tidak ada versi perbaikan yang dikonfirmasi saat pengungkapan; batasi egress jaringan alat MCP dan validasi/allowlist URL target.