技術的な説明
Model Context Protocol サーバーに OAuth ベースのセキュリティと認可を提供する Spring AI 用の mcp-security ライブラリ (spring-ai-community/mcp-security) は、MCP セキュリティ仕様で必須とされる SSRF 対策の実装に失敗しています。具体的には、ターゲットが悪意のあるものまたはネットワーク内部のものであるかどうかを検証せずに、OAuth 関連の検出およびメタデータのために信頼されていない URL を処理します。これは Dynamic Client Registration (DCR) が有効になっているインストールのみに影響します。CVSS スコアは 7.2 (高) です。バージョン 0.1.9 で修正されました。
攻撃経路
Dynamic Client Registration 中に提供される OAuth メタデータ URL を制御する攻撃者は、MCP セキュリティフレームワークに内部ネットワークエンドポイント (SSRF) への HTTP リクエストを実行させることができ、内部サービス、クラウドメタデータ API (AWS IMDS など)、または内部管理パネルを公開する可能性があります。悪用には、デプロイメントで DCR が有効になっていることが必要です。
影響を受けるシステム
Dynamic Client Registration (DCR) が有効になっているバージョン 0.1.9 より前の spring-ai-community/mcp-security ライブラリ。MCP サーバー接続の OAuth 認証に mcp-security を使用している任意の Spring AI アプリケーションが影響を受ける可能性があります。
緩和策
mcp-security バージョン 0.1.9 に直ちにアップグレードしてください。直ちのアップグレードが不可能な場合は、一時的な対応として Dynamic Client Registration (DCR) を無効化してください。MCP サーバープロセスのネットワーク送信ポリシーを確認し、クラウドメタデータエンドポイントと内部サービスへのアクセスをブロックしてください。