취약점  ·  2026-07-11

aerostack-mcp (mcp-whatsapp) — upload_media media_url 인수를 통한 SSRF (CVSS 6.3)

취약점Medium 영향도GlobalCVE-2026-15189
aerostackdev/aerostack-mcp의 mcp-whatsapp 컴포넌트에 있는 upload_media 함수는 media_url 인수를 통한 SSRF에 취약하며, 공격자가 서버를 공격자가 선택한 내부 또는 외부 대상으로 요청하도록 만들 수 있습니다.
이것은 LLM 에이전트를 WhatsApp 미디어 처리로 연결하는 MCP 서버 컴포넌트의 SSRF입니다. 배포가 제한적이지만, MCP 도구 서버의 SSRF는 내부 네트워크 정찰이나 에이전트 인프라에서 클라우드 메타데이터 자격 증명 탈취에 사용될 수 있는 반복되는 취약점 클래스입니다.
upload_media MCP 도구 호출의 공격자 제공 media_url이 임의의 대상으로의 서버 측 요청을 트리거합니다.
aerostackdev aerostack-mcp (mcp-whatsapp 컴포넌트)
MCP 서버의 아웃바운드 네트워크 액세스를 제한하고, media_url을 허용 목록에 대해 검증합니다.
GitHub repository
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →