【高危AI漏洞预警】MCP Inspector跨站脚本漏洞CVE-2025-58444

漏洞描述:

MCP Inѕресtоr是一款开发者工具,用于测试和调试MCP服务器,该工具在0.16.6之前的版本中存在跨站脚本问题,当连接到具有恶意重定向URI的不受信任的远程MCP服务器时,攻击者可以利用此问题直接与检查器代理交互,从而触发任意命令执行。

攻击场景:

攻击者可以构造恶意重定向URI并诱导用户连接到不受信任的远程MCP服务器,从而触发任意命令执行

影响产品:

MCP Inspector<0.16.6 

检测方法:

检查MCP Inspector的版本,确认是否低于0.16.6,并检查是否有连接到不受信任服务器的情况 

利用条件:

攻击者需要构造恶意重定向URI并诱导用户连接到不受信任的远程MCP服务器。 

修复建议:

补丁名称:

MCP Inѕресtоr代码执行漏洞的补丁-更新至最新版本0.16.6

文件链接:

https://github.com/modelcontextprotocol/inspector/releases/tag/0.16.6 

1.升级MCP Inspector到0.16.6或更高版本

2.避免连接到不受信任的远程MCP服务器

3.确保MCP Inspector工具及时更新到最新版本

文章来源：飓风网络安全