Penjelasan teknis
Paket @agenticmail/mcp AgenticMail (versi sebelum 0.9.27) mengekspos transport HTTP Streamable di endpoint /mcp saat dimulai dengan --http atau MCP_HTTP=1. Endpoint ini menerima semua permintaan MCP tanpa lapisan autentikasi HTTP apa pun, memungkinkan klien jarak jauh apa pun membaca email apa pun, mengirim email atas nama pengguna apa pun, dan mengakses nomor telepon yang terkait dengan akun AgenticMail — pengambilalihan akun penuh tanpa kredensial.
Vektor serangan
Klien jarak jauh apa pun dengan akses jaringan ke endpoint HTTP /mcp dapat mengirimkan panggilan alat MCP yang tidak diautentikasi. Ini adalah kegagalan kontrol akses tanpa autentikasi di server MCP yang menyediakan agen AI dengan kemampuan alamat email dan nomor telepon nyata, menjadikannya target bernilai tinggi untuk pengintaian, penyiapan infrastruktur phishing, dan pengambilalihan akun dalam skala besar.
Sistem yang terdampak
Versi paket @agenticmail/mcp sebelum 0.9.27. AgenticMail adalah platform yang menetapkan alamat email dan nomor telepon nyata kepada agen AI untuk penggunaan produksi.
Mitigasi
Tingkatkan ke versi @agenticmail/mcp 0.9.27 atau lebih baru. Sampai diperbaiki, jangan ekspos endpoint HTTP /mcp ke segmen jaringan apa pun yang dapat diakses oleh pihak yang tidak dipercaya. Lebih suka mode transport stdio daripada mode HTTP.