Kerentanan Path Traversal Diungkapkan dalam Beberapa Implementasi MCP Server

Empat kerentanan path traversal dengan tingkat keparahan tinggi dan menengah diungkapkan dalam implementasi Model Context Protocol (MCP) server yang digunakan oleh agen AI. CVE-2026-7384 (CVSS 7.3) mempengaruhi fungsi search_papers di ezequiroga/mcp-bases, memungkinkan manipulasi parameter topic. CVE-2026-7386 (CVSS 7.3) mempengaruhi fatbobman/mail-mcp-bridge, dapat dieksploitasi melalui argumen message_ids. CVE-2026-7396 (CVSS 5.3) berdampak pada adapter platform WeChat Work NousResearch/hermes-agent. CVE-2026-7397 (CVSS 4.4) adalah kerentanan symlink-following di alat file NousResearch/hermes-agent yang memerlukan akses lokal. Keempat kerentanan dipublikasikan ke NVD pada 29 April 2026.

Penyerang memanipulasi argumen fungsi (topic, message_ids, jalur file) yang dilewatkan ke alat MCP server untuk melintasi luar direktori yang dimaksudkan. Untuk CVE-2026-7384 dan CVE-2026-7386, eksploitasi jarak jauh dimungkinkan dengan mengirim permintaan yang dirancang ke MCP server. Untuk CVE-2026-7397, akses lokal diperlukan untuk mengeksploitasi perilaku symlink-following. Eksploitasi yang berhasil memungkinkan pembacaan atau penulisan file arbitrer pada sistem host, yang berpotensi mengompromikan memori agen, konfigurasi, atau kredensial.

Penerapan agen AI yang menggunakan implementasi MCP server yang terpengaruh: ezequiroga/mcp-bases (pencarian makalah penelitian), fatbobman/mail-mcp-bridge (integrasi email), dan NousResearch/hermes-agent (kerangka agen multi-platform). Ini adalah MCP server yang dikontribusikan komunitas, biasanya digunakan dalam alur kerja agen AI eksperimental atau khusus daripada produksi skala enterprise.

Periksa repositori GitHub untuk patch atau pemberitahuan keamanan dari pengelola masing-masing. Untuk hermes-agent, tingkatkan ke versi yang lebih baru dari 0.8.0 jika tersedia. Sebagai kontrol sementara, terapkan wrapper validasi input di sekitar panggilan alat MCP untuk membersihkan argumen terkait jalur sebelum mencapai server. Batasi paparan jaringan MCP server dan jalankan server dengan izin filesystem minimal. Organisasi harus mengaudit inventaris MCP server mereka dan memprioritaskan patching server yang menangani data sensitif.