技术说明
Spring AI 的 mcp-security 库(spring-ai-community/mcp-security)为 Model Context Protocol 服务器提供基于 OAuth 的安全和授权,但未能实施 MCP 安全规范要求的强制性 SSRF 缓解措施。具体来说,它在处理 OAuth 相关发现和元数据的不可信 URL 时,未验证目标是否为恶意或网络内部地址。这仅影响启用了动态客户端注册(DCR)的安装。CVSS 评分为 7.2(高危)。已在 0.1.9 版本中修复。
攻击途径
攻击者控制动态客户端注册期间提供的 OAuth 元数据 URL,可以指示 MCP 安全框架向内部网络端点发起 HTTP 请求(SSRF),可能暴露内部服务、云元数据 API(如 AWS IMDS)或内部管理面板。利用此漏洞需要在部署中启用 DCR。
受影响系统
0.1.9 版本之前的 spring-ai-community/mcp-security 库版本且启用了动态客户端注册(DCR)。任何使用 mcp-security 对 MCP 服务器连接进行 OAuth 身份验证的 Spring AI 应用程序都可能受到影响。
缓解措施
立即升级到 mcp-security 0.1.9 版本。如果无法立即升级,请禁用动态客户端注册(DCR)作为临时解决方案。审查 MCP 服务器进程的网络出口策略,阻止对云元数据端点和内部服务的访问。