漏洞总结:TencentCloudBase CloudBase-MCP 2.16.1 Server-Side Request Forgery 漏洞概述 漏洞编号:#802230 漏洞类型:服务端请求伪造 (SSRF) CVE 编号:CVE-819 描述:在 的 组件中发现 SSRF 漏洞。HTTP 端点 接受攻击者控制的 URL 值,并将其直接传递给 和 ,未进行验证或过滤。服务器默认监听 ,导致该端点在许多部署中可被外部访问。攻击者可以利用此漏洞强制受影响的服务器向任意 URL 发起出站请求,从而攻击内部或外部目标。 影响范围 受影响版本:CloudBase-MCP 2.16.1 修复状态:截至报告时,2.17.0 版本已修复该漏洞。 修复方案 升级版本:升级到 CloudBase-MCP 2.17.0 或更高版本。 来源 GitHub 链接:https://github.com/TencentCloudBase/CloudBase-MCP/issues/509 提交信息 提交者:BruceJin (UID 96338) 提交时间:2025年10月10日 08:01 AM 审核时间:2025年10月27日 05:35 PM 状态:已修复 VulDB 条目:TencentCloudBase CloudBase-MCP up to 2.17.0 open-url API Endpoint interactive-server.ts openUrl req.body url server-side request forgery