何が起きたか
googleapis/mcp-toolboxのHTTPツールURLビルダーにパストラバーサル脆弱性が存在します(CVSS 9.3 Critical)。下流APIリクエストを構築する際、URLビルダーはユーザー制御のpathParamsを設定されたツールパスに置き換え、その結果の文字列を相対URLとして解析します。初期パスが期待されるプリフィックスで始まることをチェックしますが、パストラバーサルシーケンス(例:'../')を含む細工されたpathParamはURLパース後に意図されたパスプリフィックスをエスケープでき、MCPツールのHTTPリクエストを任意の上流エンドポイントにリダイレクトします。
なぜ重要か
MCP ToolboxはGoogle公式ライブラリで、AIエージェントをバックエンドAPIに接続するMCPサーバーを構築するためのものです。悪意のあるプロンプトまたはツール入力により、エージェントは意図されていない内部サービスへのHTTPリクエストを作成し、内部APIからデータを流出させるか、オペレーターが公開する意図のなかったエンドポイントをターゲットにして認可制御をバイパスすることができます。重大なCVSSスコア(9.3)は、エージェントの観点から認証が不要であることを反映しています。
攻撃経路
攻撃者はLLMエージェントプロンプトまたは悪意のあるツール入力を通じてパストラバーサルシーケンス(例:'../../admin')を含む細工されたpathParam値を提供します。MCP ToolboxのURLビルダーは意図されていない上流APIエンドポイントへのリクエストを構築します。
影響を受けるシステム
googleapis/mcp-toolbox(PR #3218での修正前の影響を受けたバージョン)
緩和策
GitHubプルリクエスト#3218の修正を適用してください: https://github.com/googleapis/mcp-toolbox/pull/3218。Googleからの更新リリースを監視してください。