脆弱性  ·  2026-07-02

DeepTutor — MCP ツール認可バイパスにより低権限ユーザーが任意の構成済み MCP ツールを呼び出し可能

脆弱性High 影響度GlobalCVE-2026-58168
2026年6月30日に公開(CVSS 8.8 High)された CVE-2026-58168 は、DeepTutor のマルチユーザー MCP アクセス制御のロジック エラーです。権限の不在に対して拒否結果を返すべき関数は代わりに None を返し、これが許可-すべてとして伝播されます。DeepTutor プロジェクトは GitHub で 25,000 以上のスターを持っています。概念実証プルリクエスト(PR #579)は開示時に公開されていました。
AI チュータリング プラットフォーム内の MCP ツールには、ファイルシステム アクセス、シェル実行、ブラウザー自動化が含まれる場合があります。低権限ユーザーまたは信頼されていないドキュメントからのプロンプト インジェクション コンテンツが任意の MCP ツールを呼び出すことができるバイパスにより、展開環境での任意のコード実行とデータ流出が発生します。プロンプト インジェクション ベクトルは、学生提供のコンテンツが日常的に取り込まれるチュータリング コンテキストで特に危険です。
deeptutor/multi_user/tool_access.py 内の allowed_mcp_tools() 関数は、ユーザーのグラント レコードから mcp_tools 権限キーが存在しない場合に None を返します。呼び出し元は None を拒否(許可-すべて)ではなく無制限アクセスとして解釈します。低権限ユーザーまたはプロンプト インジェクション コンテンツは、認可なしに任意の構成済み MCP ツール(シェル実行やファイルシステム アクセスを含む)を列挙して呼び出すことができます。
HKUDS DeepTutor 1.4.10 より前
DeepTutor 1.4.10 にアップグレードしてください。修正コミット:https://github.com/HKUDS/DeepTutor/commit/90046374b3dcd4f8a866d2d64a64440bc08eb2ef
出典
NVD CVE-2026-58168dbugs.ptsecurity.com — CVE-2026-58168 DetailGitHub fix commit
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →