技術的な説明
Model Context Protocol サーバーに OAuth ベースのセキュリティと認可を提供する Spring AI の mcp-security ライブラリ (spring-ai-community/mcp-security) は、MCP セキュリティ仕様で要求される必須の SSRF 緩和の実装に失敗しています。具体的には、ターゲットが悪意のあるものか、ネットワークの内部にあるかどうかを確認せずに、OAuth 関連のディスカバリーとメタデータに対して信頼されていない URL を処理しています。これは Dynamic Client Registration (DCR) が有効になっているインストールのみに影響します。CVSS スコアは 7.2 (高) です。バージョン 0.1.9 で修正されました。
攻撃経路
OAuth メタデータ URL を制御する攻撃者は、Dynamic Client Registration 中に提供される URL を使用して、MCP セキュリティフレームワークに内部ネットワークエンドポイント (SSRF) への HTTP リクエストを実行させ、内部サービス、クラウドメタデータ API (例: AWS IMDS)、または内部管理パネルを公開する可能性があります。悪用するには、デプロイメントで DCR が有効になっている必要があります。
影響を受けるシステム
Dynamic Client Registration (DCR) が有効になっているバージョン 0.1.9 より前の spring-ai-community/mcp-security ライブラリ。MCP サーバー接続の OAuth 認証に mcp-security を使用する Spring AI アプリケーションはすべて影響を受ける可能性があります。
緩和策
mcp-security をバージョン 0.1.9 に直ちにアップグレードしてください。即座のアップグレードが不可能な場合は、Dynamic Client Registration (DCR) を一時的な回避策として無効にしてください。MCP サーバープロセスのネットワーク出力ポリシーを確認して、クラウドメタデータエンドポイントと内部サービスへのアクセスをブロックしてください。