Сервер Apollo MCP — это сервер протокола контекста модели, который предоставляет операции GraphQL как инструменты MCP. До версии 1.7.0 сервер Apollo MCP не проверял заголовок Host во входящих HTTP-запросах при использовании транспорта StreamableHTTP. В конфигурациях, где сервер MCP на основе HTTP запускается на локальном хосте без дополнительной аутентификации или контроля на уровне сети, это потенциально может позволить вредоносному веб-сайту, посещаемому пользователем, запускающим сервер локально, использовать методы повторной привязки DNS для обхода ограничений политики того же происхождения и отправки запросов на локальный сервер MCP.
В случае успешной эксплуатации это может позволить злоумышленнику вызывать инструменты или получать доступ к ресурсам, предоставляемым сервером MCP, от имени локального пользователя. Эта проблема ограничена режимами транспорта на основе HTTP (StreamableHTTP). Это не влияет на серверы, использующие транспорт stdio.
Практический риск еще больше снижается в развертываниях, которые используют аутентификацию, контроль доступа на уровне сети или не привязаны к локальному хосту. Эта уязвимость исправлена в версии 1.7.0.
Показать оригинальное описание (EN)
Apollo MCP Server is a Model Context Protocol server that exposes GraphQL operations as MCP tools. Prior to version 1.7.0, the Apollo MCP Server did not validate the Host header on incoming HTTP requests when using StreamableHTTP transport. In configurations where an HTTP-based MCP server is run on localhost without additional authentication or network-level controls, this could potentially allow a malicious website—visited by a user running the server locally—to use DNS rebinding techniques to bypass same-origin policy restrictions and issue requests to the local MCP server. If successfully exploited, this could allow an attacker to invoke tools or access resources exposed by the MCP server on behalf of the local user. This issue is limited to HTTP-based transport modes (StreamableHTTP). It does not affect servers using stdio transport. The practical risk is further reduced in deployments that use authentication, network-level access controls, or are not bound to localhost. This vulnerability is fixed in 1.7.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apollographql Apollo_Mcp_Server
cpe:2.3:a:apollographql:apollo_mcp_server:*:*:*:*:*:*:*:*
|
— |
1.7.0
|