技术说明
rmcp crate(Model Context Protocol 官方 Rust SDK)1.4.0 版本之前未对其 Streamable HTTP 服务器传输层(crates/rmcp/src/transport/streamable_http_server/)中传入的 Host 头进行验证。这允许恶意公共网站对绑定到 localhost 的 MCP 服务器执行 DNS 重绑定攻击,发送跨域请求,服务器会将这些请求处理为来自受信任的本地客户端。NVD 于 2026 年 5 月 14 日发布了 CVE-2026-42559,CVSS 4.0 基础评分为 8.8(高严重性)。
攻击途径
DNS 重绑定攻击。攻击者托管一个恶意网站,用户在浏览器中访问该网站。攻击者的 JavaScript 代码执行 DNS 重绑定,导致用户的浏览器向 127.0.0.1 或 localhost 地址发送 HTTP 请求,而 MCP 服务器正在监听这些地址。由于 rmcp crate 未验证 Host 头,MCP 服务器接受并处理这些跨域请求,允许攻击者调用 MCP 工具、访问资源或操纵提示,就像请求来自合法的本地 MCP 客户端一样。
受影响系统
使用 rmcp crate(官方 Model Context Protocol Rust SDK)1.4.0 版本之前的基于 Rust 的 MCP 服务器实现。这影响任何监听 localhost 并使用 rmcp Streamable HTTP 传输的 MCP 服务器。使用 rmcp crate 构建 MCP 服务器的开发人员应假设之前的部署容易受到来自恶意网站的跨域攻击。
缓解措施
升级到 rmcp crate 1.4.0 版本或更高版本,该版本引入了 Host 头验证以防止 DNS 重绑定攻击。检查服务器配置,确保 MCP 服务器不会意外暴露在 localhost 之外的网络接口上。在生产环境中部署 MCP 服务器的组织应审计访问日志中的可疑跨域请求,并验证客户端身份验证机制在 Host 头检查之外得到执行。