기술 설명
AI 에이전트가 사용하는 Model Context Protocol (MCP) 서버 구현에서 4개의 높음 및 중간 심각도의 경로 순회 취약점이 공개되었습니다. CVE-2026-7384 (CVSS 7.3)는 ezequiroga/mcp-bases의 search_papers 함수에 영향을 미치며, topic 매개변수 조작을 허용합니다. CVE-2026-7386 (CVSS 7.3)은 fatbobman/mail-mcp-bridge에 영향을 미치며, message_ids 인수를 통해 악용 가능합니다. CVE-2026-7396 (CVSS 5.3)은 NousResearch/hermes-agent WeChat Work 플랫폼 어댑터에 영향을 미칩니다. CVE-2026-7397 (CVSS 4.4)은 로컬 액세스가 필요한 NousResearch/hermes-agent 파일 도구의 심볼릭 링크 추적 결함입니다. 4개 모두 2026년 4월 29일 NVD에 게시되었습니다.
공격 경로
공격자들은 MCP 서버 도구에 전달되는 함수 인수(topic, message_ids, 파일 경로)를 조작하여 의도된 디렉토리 외부로 순회합니다. CVE-2026-7384 및 CVE-2026-7386의 경우, MCP 서버에 조작된 요청을 전송하여 원격 악용이 가능합니다. CVE-2026-7397의 경우, 심볼릭 링크 추적 동작을 악용하려면 로컬 액세스가 필요합니다. 성공적인 악용으로 호스트 시스템의 임의 파일을 읽거나 쓸 수 있으며, 잠재적으로 에이전트 메모리, 구성 또는 자격증명을 손상시킬 수 있습니다.
영향받는 시스템
영향을 받는 MCP 서버 구현을 사용하는 AI 에이전트 배포: ezequiroga/mcp-bases (연구 논문 검색), fatbobman/mail-mcp-bridge (이메일 통합), NousResearch/hermes-agent (멀티 플랫폼 에이전트 프레임워크). 이들은 커뮤니티 기여 MCP 서버이며, 일반적으로 엔터프라이즈 규모의 프로덕션보다는 실험적 또는 맞춤형 에이전트 AI 워크플로우에서 사용됩니다.
완화 방안
GitHub 저장소에서 각 관리자의 패치 또는 보안 권고를 확인하세요. hermes-agent의 경우, 사용 가능한 경우 0.8.0 이후 버전으로 업그레이드하세요. 중간 통제 수단으로, MCP 도구 호출 주변에 입력 검증 래퍼를 구현하여 경로 관련 인수가 서버에 도달하기 전에 정제하세요. MCP 서버 네트워크 노출을 제한하고 최소 파일 시스템 권한으로 서버를 실행하세요. 조직은 MCP 서버 인벤토리를 감사하고 민감한 데이터를 처리하는 서버 패칭을 우선순위로 지정해야 합니다.