脆弱性  ·  2026-07-07

AIAnytime Awesome-MCP-Server (mcp-wiki) — Wiki-Summary URL 引数経由の SSRF

脆弱性Medium 影響度GlobalCVE-2026-14748
この MCP サーバー コレクションの mcp-wiki コンポーネント内のサーバー側要求フォージェリー欠陥により、攻撃者は url パラメータを操作して、サーバーが内部ネットワークリソースを含む任意の宛先へのリクエストを発行させることができます。
任意の MCP ツール サーバー内の SSRF は、MCP サーバーが他の AI インフラストラクチャに隣接するクラウド環境で実行される場合、内部ネットワークをプローブしたり、クラウドメタデータエンドポイントに到達したりするために使用できますが、このプロジェクトは狭い配置フットプリントを持っています。
mcp-wiki/wiki-summary コンポーネントの server.py は url 引数を、宛先の検証なく処理するため、攻撃者が内部または制限されたネットワーク宛先に対してサーバー側リクエストをトリガーできます。
AIAnytime Awesome-MCP-Server までコミット a884bb51bcd99e08e14fd712c749d55d9d9a13ab
url 引数に対するアロウリストを適用するか、内部アドレス範囲のデニーリストに対する宛先を検証してください。アップストリーム リポジトリで修正を確認してください。
NVD CVE-2026-14748Awesome-MCP-Server GitHub
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →