事件经过
AstrBot 的 MCP 测试端点接受用于测试 MCP 服务器连接的未验证 URL,让经过认证的用户强制服务器针对仅限内部的端点发送请求(SSRF)。
影响分析
AstrBot 是一个具有 MCP 集成的 AI 聊天机器人/代理框架;通过其 MCP 测试功能的 SSRF 可能会暴露从 AstrBot 主机可访问的内部服务或云元数据端点,尽管爆炸半径仅限于经过认证的用户和单个小众框架。
攻击途径
astrbot/dashboard/routes/tools.py 中的 ToolsRoute.test_mcp_connection 函数未能验证 mcp_server_config.url 参数,允许经过认证的攻击者通过 MCP 连接测试功能强制 AstrBot 服务器向内部基础设施发送 HTTP 请求。
受影响系统
AstrBotDevs AstrBot 至 4.25.2
缓解措施
当修复发布时升级 AstrBot 至 4.25.2 之后的版本;限制对仪表板/MCP 测试端点的访问并验证/允许列出 MCP 连接测试的目标 URL。