Penjelasan teknis
Paket @agenticmail/mcp AgenticMail (versi sebelum 0.9.27) mengekspos transportasi HTTP Streamable di endpoint /mcp ketika dimulai dengan --http atau MCP_HTTP=1. Endpoint ini menerima semua permintaan MCP tanpa lapisan autentikasi HTTP apa pun, memungkinkan klien jarak jauh apa pun untuk membaca email apa pun, mengirim email atas nama pengguna apa pun, dan mengakses nomor telepon yang terkait dengan akun AgenticMail — pengambilalihan akun lengkap tanpa kredensial.
Vektor serangan
Klien jarak jauh apa pun dengan akses jaringan ke endpoint HTTP /mcp dapat mengirim panggilan alat MCP yang tidak terauthentikasi. Ini adalah kegagalan kontrol akses yang tidak terauthentikasi di server MCP yang menyediakan agen AI dengan kemampuan alamat email dan nomor telepon nyata, menjadikannya target bernilai tinggi untuk pengintaian, pengaturan infrastruktur phishing, dan pengambilalihan akun dalam skala besar.
Sistem yang terdampak
Versi paket @agenticmail/mcp sebelum 0.9.27. AgenticMail adalah platform yang menetapkan alamat email dan nomor telepon nyata kepada agen AI untuk penggunaan produksi.
Mitigasi
Tingkatkan ke versi @agenticmail/mcp 0.9.27 atau lebih baru. Sampai diperbaiki, jangan ekspos endpoint HTTP /mcp ke segmen jaringan apa pun yang dapat diakses oleh pihak yang tidak dipercaya. Lebih suka mode transportasi stdio daripada mode HTTP.