脆弱性  ·  2026-07-06

AIAnytime Awesome-MCP-Server(mcp-wiki)— urlの引数を通じたサーバー側のリクエスト偽造

脆弱性Medium 影響度GlobalCVE-2026-14748
CVE-2026-14748(CVSS 6.3 Medium、2026-07-05に公開)はwikiコンテンツを要約するMCPサーバーツール内のSSRF脆弱性で、ツールに渡されるurl引数を操作することで到達可能です。
MCPサーバーはLLMエージェントから直接呼び出し可能です;ここのSSRFにより、プロンプト注入または悪意のあるエージェントがMCPサーバーのネットワーク位置からの内部クラウドメタデータエンドポイントまたは内部サービスをリクエストできます。
wiki概要MCPツールは、呼び出し元が提供するurl引数を十分な検証なしで受け入れ、攻撃者がMCPサーバーに任意の内部または外部エンドポイントへのリクエストを発行させることを可能にします(SSRF)。
AIAnytime Awesome-MCP-Server、mcp-wiki/wiki-summaryコンポーネント(コミットa884bb51bcd99e08e14fd712c749d55d9d9a13abまで)
開示時に確認された修正バージョンなし;MCPツールネットワーク出力を制限し、ターゲットURLを検証/許可リストに入れる。
NVD CVE-2026-14748SecurityVulnerability.io CVE-2026-14748
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →