发布日期：2025-05-30
更新日期：2025-08-11

受影响系统：

Zach Caceres Markdownify MCP Server

描述：

---

CVE(CAN) ID: CVE-2025-5276

Markdownify MCP Server是美国Zach Caceres个人开发者的一个用于将几乎所有内容转换为 Markdown 的模型上下文协议服务器。
Markdownify MCP Server存在服务器端请求伪造漏洞，攻击者可利用该漏洞构造特殊指令，当该指令被MCP主机执行时，会触发网页转Markdown工具、必应搜索转Markdown工具及YouTube转Markdown工具向攻击者控制的URL发起请求并读取响应，造成敏感信息泄露。

<**>

建议：

---

厂商补丁：

Zach Caceres
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/zcaceres/markdownify-mcp/commit/0284aa8f34d32c65e20d8cda2d429b7943c9af03

浏览次数：34
严重程度：0（网友投票）