기술 설명
Model Context Protocol 서버에 대한 OAuth 기반 보안 및 권한 부여를 제공하는 Spring AI용 mcp-security 라이브러리(spring-ai-community/mcp-security)는 MCP 보안 사양에서 요구하는 필수 SSRF 완화 조치를 구현하지 못합니다. 특히 대상이 악의적이거나 네트워크 내부인지 확인하지 않고 OAuth 관련 검색 및 메타데이터에 대한 신뢰할 수 없는 URL을 처리합니다. 이는 Dynamic Client Registration(DCR)이 활성화된 설치에만 영향을 미칩니다. CVSS 점수는 7.2(높음)입니다. 버전 0.1.9에서 수정되었습니다.
공격 경로
Dynamic Client Registration 중에 제공된 OAuth 메타데이터 URL을 제어하는 공격자는 MCP 보안 프레임워크를 지시하여 내부 네트워크 엔드포인트(SSRF)에 HTTP 요청을 하도록 지시할 수 있으며, 잠재적으로 내부 서비스, 클라우드 메타데이터 API(예: AWS IMDS) 또는 내부 관리 패널을 노출할 수 있습니다. 악용을 위해서는 배포에서 DCR이 활성화되어야 합니다.
영향받는 시스템
Dynamic Client Registration(DCR)이 활성화된 0.1.9 이전의 spring-ai-community/mcp-security 라이브러리 버전입니다. MCP 서버 연결의 OAuth 인증을 위해 mcp-security를 사용하는 모든 Spring AI 애플리케이션이 잠재적으로 영향을 받을 수 있습니다.
완화 방안
즉시 mcp-security 버전 0.1.9로 업그레이드하십시오. 즉시 업그레이드가 불가능한 경우, 임시 해결책으로 Dynamic Client Registration(DCR)을 비활성화하십시오. MCP 서버 프로세스에 대한 네트워크 이그레스 정책을 검토하여 클라우드 메타데이터 엔드포인트 및 내부 서비스에 대한 액세스를 차단하십시오.