何が起きたか
2026年6月18日、Google の MCP Toolbox for Databases に2つの重大な認証バイパス脆弱性(CVSS 9.3)が NVD に公開されました。CVE-2026-11717: OAuth 2.0 introspection endpoint(RFC 7662)を経由して opaque token を検証する際、toolbox は応答を introspectResp 構造体にデコードしますが、'active' フィールドが false であるかどうかをチェックしません — つまり、期限切れまたは失効したトークンが有効として扱われます。CVE-2026-11718 は同じ validateOpaqueToken パスにおける関連する欠陥を説明しており、introspection 応答内の追加フィールドが検証されないため、さらなるバイパス条件を許可します。両者とも、認証されていない、または認可されていない呼び出し元が MCP ツールとそれらが接続するデータベースにアクセスすることを許可します。
なぜ重要か
MCP Toolbox for Databases は、AI エージェントをエンタープライズ データベース(Cloud SQL、Spanner、AlloyDB、PostgreSQL、MySQL、SQLite)に接続するための Google の公式 MCP サーバーです。ここでの認証バイパスは、MCP エンドポイントに到達できる任意の攻撃者が、有効な認証情報なしでデータベース読み取り/書き込みツールを呼び出すことができることを意味します — AI エージェントが使用を認可されているデータの流出またはデータの破損。このパッケージは googleapis によってメンテナンスされており、Google Cloud 環境全体で大規模にデプロイされている可能性があります。
攻撃経路
攻撃者は期限切れ、失効、またはその他の無効な opaque token を MCP Toolbox introspection エンドポイントに提示します。サーバーは OAuth introspection エンドポイントを呼び出しますが、'active: false' 応答フィールドを無視し、攻撃者にすべての MCP ツールと接続されたデータベースへのアクセスを許可します。
影響を受けるシステム
googleapis/mcp-toolbox(PR #3341 および #3360 での修正前のすべてのバージョン)
緩和策
googleapis/mcp-toolbox PRs #3341(CVE-2026-11717)および #3360(CVE-2026-11718)からパッチを適用します。参照: https://github.com/googleapis/mcp-toolbox/pull/3341 および https://github.com/googleapis/mcp-toolbox/pull/3360