무슨 일이 있었나
데이터베이스용 MCP Toolbox의 인증된 권한 부여 우회 (CVSS 8.6)가 2026년 6월 18일 NVD에 게시되었습니다. 2025-11-25 프로토콜 버전은 도구별 scopesRequired 제한을 올바르게 시행하지만, 더 오래된 지원되는 프로토콜 버전 핸들러는 범위 실행을 적용하지 않습니다. 따라서 인증된 사용자는 더 오래된 프로토콜 버전을 통해 연결하여 권한이 없는 도구에 접근할 수 있으며, 데이터베이스 도구 호출에 대한 의도된 최소 권한 제어를 우회합니다.
왜 중요한가
범위 실행은 AI 에이전트(또는 MCP 인터페이스 사용자)가 수행할 수 있는 데이터베이스 작업을 제한하는 주요 메커니즘입니다. 이를 우회하면 인증되었지만 낮은 권한의 호출자가 높은 권한의 데이터베이스 도구를 호출할 수 있으며, 제한되어야 하는 데이터 유출, 스키마 수정 또는 파괴적 쓰기가 가능해집니다.
공격 경로
인증된 공격자가 범위 실행을 건너뛰는 더 오래된 지원 프로토콜 버전을 사용하여 MCP Toolbox에 연결합니다. 그런 다음 공격자는 자신이 접근 권한이 없는 scopesRequired로 제한된 도구를 호출합니다.
영향받는 시스템
googleapis/mcp-toolbox (PR #3049의 수정 이전 버전)
완화 방안
googleapis/mcp-toolbox PR #3049에서 수정 사항을 적용합니다. 가능한 경우 더 오래된 프로토콜 버전 핸들러를 비활성화하거나 지원 중단합니다. 참조: https://github.com/googleapis/mcp-toolbox/pull/3049