何が起きたか
CVE-2026-52830 (CVSS 9.4 Critical、2026-07-02 公開) は Telegram MCP サーバーである fast-mcp-telegram がバージョン 0.19.1 より前に影響します。サーバーは HTTP ベアラートークンを検証する際、パス区切り文字を正規化せずにトークン文字列をセッションファイルパスに直接結合します。検証者は正確な予約語トークン 'telegram' を拒否しますが、パストラバーサルシーケンスを拒否しません。リモート認証なし攻撃者は '../fast-mcp-telegram/telegram' のような作成されたトークンを送信でき、デフォルトレガシーセッションファイル (~/.config/fast-mcp-telegram/telegram.session) に解決されセッション分離をバイパスして、レガシー Telegram アカウントとして認証できます。アカウント接頭辞付き MCP ツールが有効な場合、攻撃者はその Telegram セッション用に公開されたすべての MCP ツールへの完全なアクセスを取得します。
なぜ重要か
Telegram MCP サーバーは AI エージェントを Telegram アカウントにブリッジし、メッセージ読み取り/書き込みの完全な権限があります。認証バイパスとは、認証なし リモート攻撃者が被害者の Telegram アカウントに代わってすべての MCP ツールを呼び出せることを意味します。プライベートメッセージ読み取り、メッセージ送信、グループチャット アクセス、連絡先データ流出。Telegram が通知、承認、またはコマンドアンドコントロールに使用されるエージェンティック ワークフローでは、これは AI エージェントの通信チャネルの完全なアカウント乗っ取りを表します。
攻撃経路
パストラバーサル ベアラートークン (例: '../fast-mcp-telegram/telegram') を使用した認証なし HTTP リクエストにより、サーバーがデフォルトセッションファイルに解決され、被害者の Telegram アカウント上で全MCP ツール アクセスを許可します。
影響を受けるシステム
fast-mcp-telegram < 0.19.1
緩和策
fast-mcp-telegram をバージョン 0.19.1 以降にアップグレードしてください。GitHub アドバイザリ: https://github.com/advisories/GHSA-rxw2-pc8j-vxwm