Kerentanan  ·  2026-07-07

AIAnytime Awesome-MCP-Server (mcp-wiki) — SSRF melalui Argumen Wiki-Summary URL

KerentananMedium dampakGlobalCVE-2026-14748
Cacat server-side request forgery dalam komponen mcp-wiki dari koleksi server MCP ini memungkinkan penyerang memanipulasi parameter url untuk membuat server mengeluarkan permintaan ke tujuan arbitrer, termasuk resource jaringan internal.
SSRF di server alat MCP apa pun dapat digunakan untuk menyelidiki jaringan internal atau mencapai endpoint metadata cloud ketika server MCP berjalan di lingkungan cloud yang berdekatan dengan infrastruktur AI lainnya, meskipun proyek spesifik ini memiliki footprint deployment yang sempit.
Komponen mcp-wiki/wiki-summary dalam server.py menangani argumen url tanpa memvalidasi tujuan, memungkinkan penyerang untuk memicu permintaan server-side terhadap tujuan jaringan internal atau terbatas.
AIAnytime Awesome-MCP-Server hingga commit a884bb51bcd99e08e14fd712c749d55d9d9a13ab
Terapkan allowlist untuk argumen url atau validasi tujuan terhadap denylist rentang alamat internal; periksa repositori upstream untuk perbaikan.
NVD CVE-2026-14748Awesome-MCP-Server GitHub
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →