Apa yang terjadi
Bypass autorisasi terautentikasi (CVSS 8.6) di MCP Toolbox untuk Databases dipublikasikan ke NVD pada 18 Juni 2026. Meskipun versi protokol 2025-11-25 dengan benar menegakkan pembatasan scopesRequired per-tool, handler versi protokol yang lebih lama tidak menerapkan penegakan scope. Pengguna terautentikasi dapat mengakses tools yang tidak mereka otorisasi dengan menghubungkan melalui versi protokol yang lebih lama, memotong kontrol least-privilege yang dimaksudkan pada invokasi database tool.
Mengapa penting
Penegakan scope adalah mekanisme utama yang membatasi operasi database mana yang dapat dilakukan oleh agen AI (atau pengguna antarmuka MCP). Memotongnya memungkinkan pemanggil terautentikasi-tetapi-privilege-rendah untuk menginvokasi database tools privilege-tinggi — memungkinkan ekfiltrasi data, modifikasi schema, atau penulisan destruktif yang seharusnya dibatasi.
Vektor serangan
Penyerang terautentikasi terhubung ke MCP Toolbox menggunakan versi protokol supported yang lebih lama yang melewatkan penegakan scope. Penyerang kemudian menginvokasi tools yang dibatasi oleh scopesRequired yang tidak mereka otorisasi untuk diakses.
Sistem yang terdampak
googleapis/mcp-toolbox (versi sebelum fix di PR #3049)
Mitigasi
Terapkan fix dari googleapis/mcp-toolbox PR #3049. Nonaktifkan atau deprecate handler versi protokol lebih lama jika memungkinkan. Lihat: https://github.com/googleapis/mcp-toolbox/pull/3049