Apa yang terjadi
Dua kerentanan bypass autentikasi kritis (CVSS 9.3 masing-masing) dipublikasikan ke NVD pada 18 Juni 2026 di MCP Toolbox untuk Database milik Google. CVE-2026-11717: saat memvalidasi token opak melalui endpoint introspeksi OAuth 2.0 (RFC 7662), toolbox mendekode respons ke struct introspectResp tetapi gagal memeriksa apakah field 'active' bernilai false — artinya token yang kadaluarsa atau dicabut diperlakukan sebagai valid. CVE-2026-11718 menggambarkan cacat terkait di jalur validateOpaqueToken yang sama di mana field tambahan dalam respons introspeksi tidak divalidasi, memungkinkan kondisi bypass lebih lanjut. Keduanya memungkinkan pengguna yang tidak terautentikasi atau tidak berwenang mengakses tool MCP dan database yang terhubung.
Mengapa penting
MCP Toolbox untuk Database adalah server MCP resmi Google untuk menghubungkan agen AI ke database enterprise (Cloud SQL, Spanner, AlloyDB, PostgreSQL, MySQL, SQLite). Bypass autentikasi di sini berarti penyerang mana pun yang dapat menjangkau endpoint MCP dapat menjalankan tool baca/tulis database tanpa kredensial valid — mengeksfiltrasi atau merusak data yang diizinkan agen AI akses. Paket ini dikelola oleh googleapis dan kemungkinan besar didistribusikan di lingkungan Google Cloud dalam skala besar.
Vektor serangan
Penyerang menyajikan token opak yang kadaluarsa, dicabut, atau tidak valid sebaliknya ke endpoint introspeksi MCP Toolbox. Server memanggil endpoint introspeksi OAuth tetapi mengabaikan field respons 'active: false', memberikan akses penyerang ke semua tool MCP dan database yang terhubung.
Sistem yang terdampak
googleapis/mcp-toolbox (semua versi sebelum fix di PR #3341 dan #3360)
Mitigasi
Terapkan patch dari PR googleapis/mcp-toolbox #3341 (CVE-2026-11717) dan #3360 (CVE-2026-11718). Lihat: https://github.com/googleapis/mcp-toolbox/pull/3341 dan https://github.com/googleapis/mcp-toolbox/pull/3360