脆弱性  ·  2026-07-07

Amazon mcp-gateway-registry — メトリクスサービス保持ポリシー管理での SQL インジェクション

脆弱性High 影響度GlobalCVE-2026-14471
AWS の MCP Gateway Registry のメトリクスサービス コンポーネントは、ユーザー提供の table_name パラメータをパラメータ化せずに補間することで SQL ステートメントを構築し、認証された攻撃者が任意の SQL を注入することを可能にします。
MCP ゲートウェイ/レジストリサービスはエンタープライズ エージェント AI ツール検出とルーティングのコントロールプレーンに位置しています。ここでの SQL インジェクションは、認証された低特権ユーザーがエージェントが呼び出す際に許可される MCP ツールを管理するレジストリメタデータを読み取ったり破損させたりでき、これはエージェント ツーリング フロート全体の信頼境界を損なう攻撃です。
メトリクスサービス保持ポリシー管理コンポーネント内の特殊要素の不適切なニュートラライゼーションにより、認証されたリモート ユーザーは、SQL ステートメントに直接補間されるcrafted table_name 値を通じて任意の SQL クエリを実行できます。
Amazon mcp-gateway-registry、バージョン 1.0.13 より前
AWS セキュリティ速報 2026-052-aws に従い、mcp-gateway-registry >= 1.0.13 にアップグレードしてください。
NVD CVE-2026-14471AWS Security Bulletin 2026-052
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →