Kerentanan Path Traversal Diungkapkan dalam Implementasi MCP Server Ganda

Empat kerentanan path traversal dengan tingkat keparahan tinggi dan sedang diungkapkan dalam implementasi Model Context Protocol (MCP) server yang digunakan oleh agen AI. CVE-2026-7384 (CVSS 7.3) mempengaruhi fungsi search_papers di ezequiroga/mcp-bases, memungkinkan manipulasi parameter topic. CVE-2026-7386 (CVSS 7.3) mempengaruhi fatbobman/mail-mcp-bridge, dapat dimanfaatkan melalui argumen message_ids. CVE-2026-7396 (CVSS 5.3) berdampak pada adaptor platform WeChat Work NousResearch/hermes-agent. CVE-2026-7397 (CVSS 4.4) adalah kerentanan symlink-following di alat file NousResearch/hermes-agent yang memerlukan akses lokal. Keempat telah dipublikasikan ke NVD pada 29 April 2026.

Penyerang memanipulasi argumen fungsi (topic, message_ids, jalur file) yang dilewatkan ke alat MCP server untuk melintasi di luar direktori yang dimaksudkan. Untuk CVE-2026-7384 dan CVE-2026-7386, eksploitasi jarak jauh dimungkinkan dengan mengirimkan permintaan yang dirancang ke server MCP. Untuk CVE-2026-7397, akses lokal diperlukan untuk memanfaatkan perilaku symlink-following. Eksploitasi yang berhasil memungkinkan membaca atau menulis file arbitrer pada sistem host, yang berpotensi mengompromikan memori agen, konfigurasi, atau kredensial.

Penerapan agen AI menggunakan implementasi MCP server yang terpengaruh: ezequiroga/mcp-bases (pencarian makalah penelitian), fatbobman/mail-mcp-bridge (integrasi email), dan NousResearch/hermes-agent (kerangka kerja agen multi-platform). Ini adalah server MCP yang dikontribusikan komunitas, biasanya digunakan dalam alur kerja agentic AI eksperimental atau kustom daripada produksi skala perusahaan.

Periksa repositori GitHub untuk patch atau penasihat keamanan dari pengelola masing-masing. Untuk hermes-agent, tingkatkan ke versi yang lebih baru dari 0.8.0 jika tersedia. Sebagai kontrol interim, implementasikan pembungkus validasi input di sekitar panggilan alat MCP untuk membersihkan argumen terkait jalur sebelum mencapai server. Batasi eksposur jaringan server MCP dan jalankan server dengan izin sistem file minimal. Organisasi harus mengaudit inventaris server MCP mereka dan memprioritaskan patching server yang menangani data sensitif.