何が起きたか
aerostackdev/aerostack-mcp の mcp-whatsapp コンポーネントの upload_media 関数は media_url 引数経由の SSRF に対して脆弱であり、攻撃者がサーバーに攻撃者が選択した内部または外部の宛先へのリクエストを実行させることができます。
なぜ重要か
これは LLM エージェントを WhatsApp メディアハンドリングに橋渡しする MCP サーバーコンポーネントの SSRF であり、デプロイメントではニッチですが、MCP ツールサーバーの SSRF は内部ネットワークの偵察またはエージェントインフラストラクチャからのクラウドメタデータ認証情報窃取に使用できる繰り返し発生するクラスです。
攻撃経路
攻撃者が指定した media_url が upload_media MCP ツール呼び出しでサーバー側のリクエストを任意の宛先にトリガーする
影響を受けるシステム
aerostackdev aerostack-mcp (mcp-whatsapp コンポーネント)
緩和策
MCP サーバーからのアウトバウンドネットワークアクセスを制限し、media_url をホワイトリストに対して検証する