취약점  ·  2026-07-06

AIAnytime Awesome-MCP-Server(mcp-wiki) — url 인수를 통한 서버 측 요청 위조

취약점Medium 영향도GlobalCVE-2026-14748
CVE-2026-14748(CVSS 6.3 중간, 2026-07-05 발행)은 wiki 콘텐츠를 요약하는 MCP 서버 도구의 SSRF 취약점이며, 도구에 전달되는 url 인수를 조작하여 도달할 수 있습니다.
MCP 서버는 LLM 에이전트에 의해 직접 호출 가능합니다; 여기의 SSRF는 프롬프트 주입되었거나 악의적인 에이전트가 MCP 서버의 네트워크 위치에서 내부 클라우드 메타데이터 엔드포인트 또는 내부 서비스에 대한 요청을 하도록 허용합니다.
wiki 요약 MCP 도구는 호출자 제공 url 인수를 충분히 검증하지 않고 수락하여 공격자가 MCP 서버에서 임의의 내부 또는 외부 엔드포인트로 요청을 발급하도록 허용합니다(SSRF).
AIAnytime Awesome-MCP-Server, mcp-wiki/wiki-summary 구성 요소(커밋 a884bb51bcd99e08e14fd712c749d55d9d9a13ab까지)
공개 시 확인된 수정 버전 없음; MCP 도구 네트워크 이그레스를 제한하고 대상 URL을 검증/허용 목록화합니다.
NVD CVE-2026-14748SecurityVulnerability.io CVE-2026-14748
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →