也是给到了 9.1 的评分 环境搭建

下载源码，docker 拉取就好啦 漏洞复现 其实现在很多 AI 类的应用都有这种漏洞，算是一种应用配置 MCP 的通杀吧，最近腾讯的一个 AI 应用也是这样的洞，如果能找个别的组件，应该也能够这样 注册用户 ​

回显是正常的，然后我们去登录

得到 Token 后，我们就有权限创建 MCP 了吧

回显显示失败，不过无所谓，因为命令已经执行了

一键利用脚本

注册 429 是因为我注册太多次了 漏洞分析 数据流分析

代码分析 入口点: 权限配置 文件: packages/data-provider/src/permissions.ts

● MCP 服务器创建权限 (CREATE) 默认对所有用户启用 ●任何注册用户都可以创建 MCP 服务器 所以危害很大，因为开启了注册，然后低权限的用户也能够 RCE，不过从业务角度来讲吧，确实 MCP 就是给用户使用的，所以开启了也合理 所以更重要的是对参数的处理 API Schema: 无输入验证 文件: packages/data-provider/src/mcp.ts

● command 字段接受任意字符串，根本就没有做任何的验证 ● args 字段接受任意字符串数组 文件: packages/api/src/mcp/connection.ts

很明显，这里传的时候也没有任何检查 命令在检查时执行 文件: packages/api/src/mcp/registry/MCPServerInspector.ts

inspectServer() 方法在 MCP 服务器创建时被调用，然后接着，MCPConnectionFactory.create() 创建连接，触发命令执行，而且即使后续连接失败，命令已经执行，这也是我们为什么只需要传入正确的命令执行参数，即使回显

但是也能够成功执行命令的原因 文件: packages/api/src/mcp/registry/MCPServersRegistry.ts

在保存配置之前调用 inspect()，而且命令在检查期间执行，发生在任何错误之前 漏洞修复 在 Schema 层面禁止用户通过 API 创建 stdio 类型 MCP 服务器

参考资料 ● GitHub Advisory: GHSA-cxhj-j78r-p88f ● LibreChat Repository: https://github.com/danny-avila/LibreChat ● MCP Specification: https://modelcontextprotocol.io/ 免责声明 本漏洞分析报告仅用于安全研究和教育目的。请勿将此信息用于未经授权的系统测试。负责任地披露安全漏洞有助于保护用户和改进软件安全性。