기술 설명
AgenticMail의 @agenticmail/mcp 패키지 (0.9.27 이전 버전)는 --http 또는 MCP_HTTP=1로 시작할 때 /mcp 엔드포인트에서 스트리밍 가능한 HTTP 전송을 공개합니다. 이 엔드포인트는 HTTP 인증 계층 없이 모든 MCP 요청을 수락하므로, 모든 원격 클라이언트가 모든 이메일을 읽고, 모든 사용자를 대신하여 이메일을 보내고, AgenticMail 계정과 연결된 전화번호에 접근할 수 있으며 — 자격 증명 없이 전체 계정 탈취가 가능합니다.
공격 경로
/mcp HTTP 엔드포인트에 네트워크 접근 권한이 있는 모든 원격 클라이언트는 인증되지 않은 MCP 도구 호출을 보낼 수 있습니다. 이는 AI 에이전트에 실제 이메일 주소 및 전화번호 기능을 제공하는 MCP 서버의 인증되지 않은 접근 제어 실패이며, 대규모 정찰, 피싱 인프라 설정 및 계정 탈취를 위한 고가치 표적입니다.
영향받는 시스템
0.9.27 이전의 @agenticmail/mcp 패키지 버전. AgenticMail은 프로덕션 사용을 위해 AI 에이전트에 실제 이메일 주소와 전화번호를 할당하는 플랫폼입니다.
완화 방안
@agenticmail/mcp 버전 0.9.27 이상으로 업그레이드하세요. 패치될 때까지 /mcp HTTP 엔드포인트를 신뢰할 수 없는 당사자가 접근할 수 있는 모든 네트워크 세그먼트에 노출하지 마세요. HTTP 모드 대신 stdio 전송 모드를 사용하는 것이 좋습니다.