Apa yang terjadi
Bypass otorisasi autentikasi (CVSS 8.6) dalam MCP Toolbox untuk Databases dipublikasikan ke NVD pada 18 Juni 2026. Meskipun versi protokol 2025-11-25 dengan benar menegakkan pembatasan scopesRequired per-tool, handler versi protokol yang lebih lama tidak menerapkan penegakan scope. Pengguna yang autentikasi dapat mengakses tools yang tidak mereka otorisasi dengan terhubung melalui versi protokol yang lebih lama, melewati kontrol least-privilege yang dimaksud pada invokasi database tool.
Mengapa penting
Penegakan scope adalah mekanisme utama yang membatasi operasi database mana yang dapat dilakukan AI agent (atau pengguna antarmuka MCP). Membypassnya memungkinkan caller dengan autentikasi tetapi privilege rendah untuk memanggil database tools dengan privilege tinggi — mengaktifkan exfiltrasi data, modifikasi schema, atau penulisan destruktif yang seharusnya dibatasi.
Vektor serangan
Penyerang autentikasi terhubung ke MCP Toolbox menggunakan versi protokol yang lebih lama yang didukung dan melewati penegakan scope. Penyerang kemudian memanggil tools yang dibatasi oleh scopesRequired yang tidak mereka otorisasi untuk akses.
Sistem yang terdampak
googleapis/mcp-toolbox (versi sebelum fix dalam PR #3049)
Mitigasi
Terapkan fix dari googleapis/mcp-toolbox PR #3049. Nonaktifkan atau lakukan deprecate handler versi protokol yang lebih lama jika memungkinkan. Lihat: https://github.com/googleapis/mcp-toolbox/pull/3049