Apa yang terjadi
Dua kerentanan bypass autentikasi kritis (CVSS 9.3 masing-masing) dipublikasikan ke NVD pada 18 Juni 2026 dalam MCP Toolbox for Databases milik Google. CVE-2026-11717: saat memvalidasi token opaque melalui endpoint introspeksi OAuth 2.0 (RFC 7662), toolbox mendekode respons ke struct introspectResp tetapi gagal memeriksa apakah field 'active' adalah false — berarti token yang kadaluarsa atau dicabut diperlakukan sebagai valid. CVE-2026-11718 menggambarkan kerentanan terkait dalam path validateOpaqueToken yang sama di mana field tambahan dalam respons introspeksi tidak divalidasi, memungkinkan kondisi bypass lebih lanjut. Keduanya memungkinkan pengguna yang tidak terauthentikasi atau tidak berwenang untuk mengakses alat MCP dan database yang terhubung dengannya.
Mengapa penting
MCP Toolbox for Databases adalah server MCP resmi Google untuk menghubungkan agen AI ke database enterprise (Cloud SQL, Spanner, AlloyDB, PostgreSQL, MySQL, SQLite). Bypass autentikasi di sini berarti setiap penyerang yang dapat menjangkau endpoint MCP dapat memanggil alat database baca/tulis tanpa kredensial yang valid — mengekstrak atau merusak data yang agen AI berwenang untuk mengakses. Paket ini dikelola oleh googleapis dan kemungkinan besar diterapkan di lingkungan Google Cloud dalam skala besar.
Vektor serangan
Penyerang menyajikan token opaque yang kadaluarsa, dicabut, atau sebaliknya tidak valid ke endpoint introspeksi MCP Toolbox. Server memanggil endpoint introspeksi OAuth tetapi mengabaikan field respons 'active: false', memberikan penyerang akses ke semua alat MCP dan database yang terhubung.
Sistem yang terdampak
googleapis/mcp-toolbox (semua versi sebelum perbaikan di PR #3341 dan #3360)
Mitigasi
Terapkan patch dari googleapis/mcp-toolbox PR #3341 (CVE-2026-11717) dan #3360 (CVE-2026-11718). Lihat: https://github.com/googleapis/mcp-toolbox/pull/3341 dan https://github.com/googleapis/mcp-toolbox/pull/3360