漏洞  ·  2026-07-07

AIAnytime Awesome-MCP-Server (mcp-wiki) — 通过 Wiki 摘要 URL 参数的 SSRF

漏洞Medium 影响GlobalCVE-2026-14748
此 MCP 服务器集合的 mcp-wiki 组件中的服务器端请求伪造缺陷允许攻击者操纵 url 参数以使服务器向任意目标(包括内部网络资源)发出请求。
任何 MCP 工具服务器中的 SSRF 可用于在 MCP 服务器在与其他 AI 基础设施相邻的云环境中运行时探测内部网络或到达云元数据端点,尽管该特定项目的部署占用面积较小。
mcp-wiki/wiki-summary 组件的 server.py 处理 url 参数而不验证目标,允许攻击者触发对内部或受限网络目标的服务器端请求。
AIAnytime Awesome-MCP-Server 至提交 a884bb51bcd99e08e14fd712c749d55d9d9a13ab
对 url 参数应用白名单或针对内部地址范围的拒绝列表验证目标;检查上游存储库以获取修复。
NVD CVE-2026-14748Awesome-MCP-Server GitHub
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →