기술 설명
Model Context Protocol 서버에 OAuth 기반 보안 및 권한 부여를 제공하는 Spring AI용 mcp-security 라이브러리(spring-ai-community/mcp-security)는 MCP 보안 사양에서 요구하는 필수 SSRF 완화 기능을 구현하지 못합니다. 특히, OAuth 관련 검색 및 메타데이터를 처리할 때 대상이 악의적이거나 네트워크 내부인지 확인하지 않습니다. 이는 Dynamic Client Registration(DCR)이 활성화된 설치에만 영향을 줍니다. CVSS 점수는 7.2(높음)입니다. 버전 0.1.9에서 수정됨.
공격 경로
OAuth 메타데이터 URL을 제어하는 공격자는 Dynamic Client Registration 중에 제공된 URL을 통해 MCP 보안 프레임워크를 내부 네트워크 엔드포인트(SSRF)에 HTTP 요청을 하도록 지시할 수 있으며, 이는 내부 서비스, 클라우드 메타데이터 API(예: AWS IMDS) 또는 내부 관리자 패널을 노출할 수 있습니다. 이용을 위해서는 배포에서 DCR이 활성화되어 있어야 합니다.
영향받는 시스템
Dynamic Client Registration(DCR)이 활성화된 버전 0.1.9 이전의 spring-ai-community/mcp-security 라이브러리. MCP 서버 연결의 OAuth 인증을 위해 mcp-security를 사용하는 모든 Spring AI 애플리케이션이 잠재적으로 영향을 받습니다.
완화 방안
즉시 mcp-security 버전 0.1.9로 업그레이드하세요. 즉시 업그레이드가 불가능한 경우, 임시 해결책으로 Dynamic Client Registration(DCR)을 비활성화하세요. MCP 서버 프로세스에 대한 네트워크 송신 정책을 검토하여 클라우드 메타데이터 엔드포인트 및 내부 서비스에 대한 액세스를 차단하세요.