무슨 일이 있었나
2026년 6월 18일 Google의 MCP Toolbox for Databases에서 두 개의 중요 인증 우회 취약점(각각 CVSS 9.3)이 NVD에 게시되었습니다. CVE-2026-11717: OAuth 2.0 인트로스펙션 엔드포인트(RFC 7662)를 통해 불투명 토큰을 검증할 때, 이 도구상자는 응답을 introspectResp 구조체로 디코딩하지만 'active' 필드가 false인지 확인하지 않습니다 — 즉, 만료되었거나 취소된 토큰이 유효한 것으로 취급됩니다. CVE-2026-11718은 인트로스펙션 응답의 추가 필드가 검증되지 않는 동일한 validateOpaqueToken 경로의 관련 결함을 설명하며, 추가 우회 조건을 허용합니다. 두 취약점 모두 인증되지 않은 또는 권한이 없는 호출자가 MCP 도구 및 이들이 연결된 데이터베이스에 접근할 수 있게 합니다.
왜 중요한가
MCP Toolbox for Databases는 AI 에이전트를 엔터프라이즈 데이터베이스(Cloud SQL, Spanner, AlloyDB, PostgreSQL, MySQL, SQLite)에 연결하기 위한 Google의 공식 MCP 서버입니다. 여기서의 인증 우회는 MCP 엔드포인트에 도달할 수 있는 모든 공격자가 유효한 자격증명 없이 데이터베이스 읽기/쓰기 도구를 호출할 수 있음을 의미합니다 — AI 에이전트가 접근할 수 있는 데이터를 유출하거나 손상시킬 수 있습니다. 이 패키지는 googleapis에서 유지보수되며 Google Cloud 환경에서 대규모로 배포될 가능성이 있습니다.
공격 경로
공격자가 만료되었거나 취소되었거나 그 외에 유효하지 않은 불투명 토큰을 MCP Toolbox 인트로스펙션 엔드포인트에 제시합니다. 서버가 OAuth 인트로스펙션 엔드포인트를 호출하지만 'active: false' 응답 필드를 무시하여 공격자에게 모든 MCP 도구 및 연결된 데이터베이스에 대한 접근 권한을 부여합니다.
영향받는 시스템
googleapis/mcp-toolbox (PR #3341 및 #3360의 수정 이전의 모든 버전)
완화 방안
googleapis/mcp-toolbox PR #3341 (CVE-2026-11717) 및 #3360 (CVE-2026-11718)에서 패치를 적용합니다. 참조: https://github.com/googleapis/mcp-toolbox/pull/3341 및 https://github.com/googleapis/mcp-toolbox/pull/3360