何が起きたか
MCP Toolbox for Databases における認証済みの認可バイパス (CVSS 8.6) が 2026 年 6 月 18 日に NVD に公開されました。2025-11-25 プロトコルバージョンは scopesRequired 制限をツール単位で正しく強制していますが、古い対応プロトコルバージョンハンドラーはスコープ強制を適用していません。認証済みユーザーは古いプロトコルバージョン経由で接続することで、権限のないツールにアクセスでき、データベースツール呼び出しの意図された最小権限制御をバイパスできます。
なぜ重要か
スコープ強制は AI エージェント (または MCP インターフェースのユーザー) が実行できるデータベース操作を制限するための主要なメカニズムです。これをバイパスすると、認証済みだが低権限の呼び出し元が高権限のデータベースツールを呼び出せるようになり、データ流出、スキーマ変更、または制限されるべき破壊的な書き込みが可能になります。
攻撃経路
認証済みの攻撃者がスコープ強制をスキップする古い対応プロトコルバージョンを使用して MCP Toolbox に接続します。その後、攻撃者はアクセス権限のない scopesRequired によって制限されたツールを呼び出します。
影響を受けるシステム
googleapis/mcp-toolbox (PR #3049 での修正前のバージョン)
緩和策
googleapis/mcp-toolbox PR #3049 からの修正を適用してください。可能な限り古いプロトコルバージョンハンドラーを無効化または非推奨にしてください。参照: https://github.com/googleapis/mcp-toolbox/pull/3049