Markdownify MCP Server の Markdownify.get() 関数において、Server-Side Request Forgery (SSRF) が発生する可能性があります

このSSRF脆弱性を悪用されると、攻撃者はmcp-markdownify-serverが実行されているホストを通じて、内部ネットワーク上のリソースや外部サービスへの不正なアクセスが可能になります。具体的には、攻撃者はMarkdownify.get()関数に巧妙に細工されたプロンプトを送り込み、ウェブページからMarkdownへの変換、Bing検索、YouTubeからのMarkdown抽出などの機能を悪用し、攻撃者制御のURLへのリクエストを送信させることができます。これにより、機密情報（APIキー、認証情報、内部ネットワーク情報など）が漏洩するリスクがあります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性も秘めています。

Applications and services utilizing the mcp-markdownify-server package, particularly those deployed in environments with sensitive internal resources accessible via HTTP/HTTPS, are at risk. This includes development environments, testing servers, and production deployments where the package is used for markdown processing.

• nodejs: Monitor process execution for suspicious outbound HTTP requests originating from the mcp-markdownify-server process. Use ps aux | grep mcp-markdownify-server to identify running processes and netstat -an | grep mcp-markdownify-server to check connections.

ps aux | grep mcp-markdownify-server
netstat -an | grep mcp-markdownify-server

• generic web: Check access logs for requests to unusual or unexpected URLs originating from the server hosting mcp-markdownify-server. Look for patterns indicative of SSRF attempts.

grep 'markdownify-server' /var/log/apache2/access.log

1. 2025-05-29Disclosure

   disclosure

1. 予約済み2025-05-27
2. 公開日2025-05-29
3. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずmcp-markdownify-serverを最新バージョンにアップデートすることが最も効果的です。アップデートが困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、Markdownify.get()関数への不正なリクエストをブロックするルールを実装することを検討してください。また、Markdownify.get()関数がアクセスできるURLの範囲を制限する設定も有効です。攻撃者のリクエストを検知するために、ログ監視を強化し、異常なURLへのアクセスを検出するアラートを設定することも重要です。