무슨 일이 있었나
AstrBot의 MCP 테스트 엔드포인트는 MCP 서버 연결 테스트를 위해 검증되지 않은 URL을 허용하여 인증된 사용자가 서버를 내부 전용 엔드포인트에 대한 요청을 수행하도록 강제할 수 있습니다(SSRF).
왜 중요한가
AstrBot는 MCP 통합이 있는 AI 챗봇/에이전트 프레임워크입니다. MCP 테스트 기능을 통한 SSRF는 AstrBot 호스트에서 접근 가능한 내부 서비스 또는 클라우드 메타데이터 엔드포인트를 노출할 수 있지만, 영향 범위는 인증된 사용자 및 단일 틈새 프레임워크로 제한됩니다.
공격 경로
astrbot/dashboard/routes/tools.py의 ToolsRoute.test_mcp_connection 함수는 mcp_server_config.url 인수를 검증하지 않아서 인증된 공격자가 MCP 연결 테스트 기능을 통해 AstrBot 서버가 내부 인프라로 HTTP 요청을 발행하도록 할 수 있습니다.
영향받는 시스템
AstrBotDevs AstrBot 4.25.2까지
완화 방안
수정 프로그램이 릴리스될 때 AstrBot을 4.25.2 이상으로 업그레이드하고, 대시보드/MCP 테스트 엔드포인트에 대한 액세스를 제한하고 MCP 연결 테스트를 위한 대상 URL을 검증/허용 목록으로 작성하십시오.