무슨 일이 있었나
0.8.5 이전의 LibreChat는 MCP OAuth를 구현하지만 OAuth 보호 리소스 메타데이터의 리소스 파라미터가 구성된 MCP 서버 URL과 일치하는지 검증하지 않습니다. 악의적인 MCP 서버는 이를 악용하여 합법적인 서버용으로 의도된 OAuth 토큰을 받을 수 있으므로 토큰 탈취 및 모든 OAuth 보호 서비스에 대한 가장 공격을 가능하게 합니다.
왜 중요한가
AI 플랫폼이 도구 사용을 위해 MCP를 통합할 때 OAuth 토큰 보안이 중요해집니다. 도난당한 MCP OAuth 토큰은 공격자에게 사용자가 인증한 모든 도구 및 서비스에 대한 액세스 권한을 부여할 수 있습니다(코드 리포지토리, 데이터베이스, 클라우드 API 및 엔터프라이즈 서비스 포함). 이는 잘못 구성된 MCP 연결을 완전한 자격 증명 탈취 벡터로 변환합니다.
공격 경로
악의적인 MCP 서버는 OAuth 보호 리소스 메타데이터(RFC 9728)를 제시하며 리소스 파라미터가 구성된 MCP 서버 URL과 일치하지 않습니다. LibreChat의 MCP OAuth 구현은 이 불일치를 검증하지 못하므로 악의적인 서버가 합법적인 MCP 서버용으로 의도된 OAuth 액세스 토큰을 도용하고 이를 사용하여 다른 서비스에 대한 피해자를 가장할 수 있습니다.
영향받는 시스템
LibreChat < 0.8.5
완화 방안
LibreChat 0.8.5로 업그레이드하세요. 권고사항: https://github.com/danny-avila/LibreChat/security/advisories/GHSA-gvpj-vm2f-2m23