技術的な説明
AIエージェントで使用される Model Context Protocol (MCP) サーバー実装において、4つの高中程度のパストラバーサル脆弱性が開示されました。CVE-2026-7384 (CVSS 7.3) は ezequiroga/mcp-bases の search_papers 関数に影響を及ぼし、topic パラメータの操作を許可しています。CVE-2026-7386 (CVSS 7.3) は fatbobman/mail-mcp-bridge に影響を及ぼし、message_ids 引数を介して悪用可能です。CVE-2026-7396 (CVSS 5.3) は NousResearch/hermes-agent の WeChat Work プラットフォームアダプターに影響を与えます。CVE-2026-7397 (CVSS 4.4) は NousResearch/hermes-agent ファイルツールのシンボリックリンク追跡の欠陥であり、ローカルアクセスが必要です。4つすべては2026年4月29日にNVDに公開されました。
攻撃経路
攻撃者は、MCP サーバーツールに渡される関数引数 (topic、message_ids、ファイルパス) を操作して、意図されたディレクトリ外に走査します。CVE-2026-7384 および CVE-2026-7386 の場合、MCP サーバーに細工されたリクエストを送信することでリモート悪用が可能です。CVE-2026-7397 の場合、シンボリックリンク追跡動作を悪用するにはローカルアクセスが必要です。悪用に成功すると、ホストシステムの任意のファイルの読み取りまたは書き込みが可能になり、エージェントのメモリ、設定、または認証情報が侵害される可能性があります。
影響を受けるシステム
影響を受ける MCP サーバー実装を使用する AI エージェントのデプロイメント: ezequiroga/mcp-bases (研究論文検索)、fatbobman/mail-mcp-bridge (メール統合)、NousResearch/hermes-agent (マルチプラットフォームエージェントフレームワーク)。これらはコミュニティによって貢献された MCP サーバーであり、通常、エンタープライズ規模の本番運用ではなく実験的またはカスタムのエージェント AI ワークフローで使用されます。
緩和策
GitHub リポジトリでパッチまたは各メンテナーからのセキュリティアドバイザリを確認してください。hermes-agent の場合、利用可能であれば 0.8.0 より後のバージョンにアップグレードしてください。暫定的な対策として、MCP ツール呼び出しの周囲に入力検証ラッパーを実装して、サーバーに到達する前にパス関連の引数をサニタイズしてください。MCP サーバーのネットワーク露出を制限し、最小限のファイルシステム権限で サーバーを実行してください。組織は MCP サーバーのインベントリを監査し、機密データを処理するサーバーのパッチ適用を優先する必要があります。