发布日期：2025-09-15
更新日期：2025-11-27

受影响系统：

yuna0x0 HackMD MCP Server >=1.4.0 < 1.5.0

描述：

---

CVE(CAN) ID: CVE-2025-59155

HackMD MCP Server是yuna0x0个人开发者的一个上下文协议服务器。
HackMD MCP Server 1.4.0版本至1.5.0之前版本存在服务器端请求伪造漏洞，该漏洞源于此服务器未对Hackmd-Api-Url HTTP头或base64编码的JSON查询参数提供的任意hackmdApiUrl值进行正确验证，攻击者可利用该漏洞将出站API请求重定向至内部网络服务、访问内部端点、进行网络侦察并绕过网络访问控制。

<**>

建议：

---

厂商补丁：

yuna0x0
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/yuna0x0/hackmd-mcp/releases

浏览次数：27
严重程度：0（网友投票）