Die Schwachstelle betrifft MCP Atlassian, einen Server nach dem Model-Context-Protocol-Standard, der KI-Anwendungen den Zugriff auf die Atlassian-Produkte Confluence und Jira vermittelt. Der Fehler steckt nicht in einem der eigentlichen Werkzeug-Handler, sondern tiefer in der HTTP-Middleware und der Dependency-Injection-Schicht – weshalb er bei einer reinen Prüfung des Werkzeugcodes unsichtbar bleibt. Ein Angreifer, der den HTTP-Endpunkt erreichen kann, bringt den Serverprozess dazu, ausgehende HTTP-Anfragen an eine beliebige, von ihm kontrollierte Adresse zu senden (Server-Side Request Forgery). Dazu genügt das Mitschicken zweier spezieller HTTP-Header, während der Authorization-Header weggelassen wird; eine Anmeldung ist nicht erforderlich. In Cloud-Umgebungen lässt sich darüber der interne Metadaten-Dienst der Instanz abfragen und so IAM-Rollen-Zugangsdaten entwenden. In jeder HTTP-Bereitstellung erlaubt der Fehler zudem das Ausspähen interner Netzwerke sowie das Einschleusen angreiferkontrollierter Inhalte in die Ergebnisse, die der KI als Werkzeugausgabe geliefert werden.