漏洞总结:FastGPT 存储的 MCP 工具 URL 验证缺失 漏洞概述 FastGPT 在处理 MCP (Model Context Protocol) 工具配置时存在 SSRF (服务端请求伪造) 漏洞。虽然直接调用 MCP 预览端点时会对 URL 进行内部地址验证,但在存储和后续执行时未进行相同的安全检查,导致攻击者可以构造恶意 URL 指向内部服务。 影响范围 严重程度:Medium (中等) CVSS 评分:6.5 攻击条件:需要认证用户拥有 MCP toolset 的写权限 潜在危害:攻击者可利用后端工作流执行器连接内部网络服务,可能导致内部服务暴露或数据泄露 修复方案 1. 统一验证逻辑:将 MCP URL 验证逻辑提取为共享的 辅助函数 2. 覆盖所有路径: - 在 MCP 工具创建/更新端点存储前进行验证 - 在 Workflow 执行加载存储的 MCP 工具 URL 时重新验证 - 在直接调用 MCP 预览端点时保持原有验证 3. 防御纵深:在 Workflow 执行连接存储的 MCP URL 前进行运行时验证 受影响代码文件 (新增共享验证函数) 复现步骤 1. 运行 FastGPT 实例 2. 使用具有 MCP 管理权限的用户登录 3. 提交包含内部 URL (如 ) 的 MCP 工具创建/更新请求 4. 验证创建/更新路径是否存储了该 URL 5. 将该 MCP 工具添加到 Workflow 并执行 6. 观察 Workflow 执行器是否连接到内部目标