发布日期：2025-05-29
更新日期：2025-08-07

受影响系统：

Markdownify MCP Server Markdownify MCP Server

描述：

---

CVE(CAN) ID: CVE-2025-5276

Markdownify MCP Server是一个基于模型上下文协议的开源工具，用于将多种文件类型以及网页内容快速转换为简洁的Markdown格式。
Markdownify MCP Server中函数Markdownify.get()存在服务器请求伪造漏洞，攻击者可利用该漏洞特制一个提示，一旦被MCP主机访问，就可以调用webpage-to-markdown、bing-search-to-markdown和youtube-to-markdown工具向攻击者控制的URL发出请求并读取响应，造成敏感信息泄漏。

<**>

建议：

---

厂商补丁：

Markdownify MCP Server
----------------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/zcaceres/markdownify-mcp/blob/224cf89f0d58616d2a5522f60f184e8391d1c9e3/src/server.ts%23L20C17-L20C29

浏览次数：38
严重程度：0（网友投票）