何が起きたか
AstrBotのMCPテストエンドポイントは、MCPサーバー接続性テスト用の検証されていないURLを受け入れ、認証されたユーザーがサーバーを強制して内部専用エンドポイント(SSRF)に対してリクエストを行わせることができます。
なぜ重要か
AstrBotはMCP統合を備えたAIチャットボット/エージェントフレームワークです。MCPテスト機能経由のSSRFは、AstrBotホストから到達可能な内部サービスまたはクラウドメタデータエンドポイントを公開する可能性があります。ただし、影響範囲は認証されたユーザーとニッチなシングルフレームワークに限定されています。
攻撃経路
astrbot/dashboard/routes/tools.pyのToolsRoute.test_mcp_connection関数は、mcp_server_config.url引数の検証に失敗し、認証された攻撃者がMCP接続テスト機能を経由してAstrBotサーバーに内部インフラストラクチャへのHTTPリクエストを発行させることができます。
影響を受けるシステム
AstrBotDevs AstrBot 4.25.2まで
緩和策
修正がリリースされたら、AstrBot 4.25.2以降にアップグレードしてください。ダッシュボード/MCPテストエンドポイントへのアクセスを制限し、MCP接続テスト用のターゲットURLを検証/許可リスト化してください。