事件经过
LibreChat 0.8.5 之前的版本实现了 MCP OAuth 但未验证 OAuth 受保护资源元数据中的资源参数是否与已配置的 MCP 服务器 URL 匹配。恶意 MCP 服务器可以利用这一点来接收原本针对合法服务器的 OAuth 令牌,实现令牌盗窃和针对任何用户已授权的 OAuth 保护服务的模仿攻击。
影响分析
随着 AI 平台集成 MCP 以使用工具,OAuth 令牌安全变得至关重要。被盗的 MCP OAuth 令牌可以授予攻击者访问用户已授权的所有工具和服务 — 包括代码存储库、数据库、云 API 和企业服务 — 将配置错误的 MCP 连接转变为完整的凭证盗窃向量。
攻击途径
恶意 MCP 服务器呈现 OAuth 受保护资源元数据(RFC 9728),其资源参数与已配置的 MCP 服务器 URL 不匹配。LibreChat 的 MCP OAuth 实现未能验证此不匹配,允许恶意服务器盗窃原本针对合法 MCP 服务器的 OAuth 访问令牌,并使用它们模仿受害者对其他服务。
受影响系统
LibreChat < 0.8.5
缓解措施
升级到 LibreChat 0.8.5。公告:https://github.com/danny-avila/LibreChat/security/advisories/GHSA-gvpj-vm2f-2m23