技術的な説明
AI エージェントで使用される Model Context Protocol (MCP) サーバー実装において、重大度が高い・中程度のパストトラバーサル脆弱性 4 件が開示されました。CVE-2026-7384 (CVSS 7.3) は ezequiroga/mcp-bases の search_papers 関数に影響を及ぼし、topic パラメータの操作を可能にします。CVE-2026-7386 (CVSS 7.3) は fatbobman/mail-mcp-bridge に影響を及ぼし、message_ids 引数を介して悪用可能です。CVE-2026-7396 (CVSS 5.3) は NousResearch/hermes-agent WeChat Work プラットフォームアダプタに影響を与えます。CVE-2026-7397 (CVSS 4.4) は NousResearch/hermes-agent ファイルツールにおけるシンボリックリンク追跡の脆弱性で、ローカルアクセスが必要です。4 件すべて 2026 年 4 月 29 日に NVD に公開されました。
攻撃経路
攻撃者は MCP サーバーツールに渡される関数引数 (topic、message_ids、ファイルパス) を操作して、意図されたディレクトリの外部にトラバーサルします。CVE-2026-7384 および CVE-2026-7386 では、MCP サーバーへの細工されたリクエストの送信により遠隔悪用が可能です。CVE-2026-7397 では、シンボリックリンク追跡の動作を悪用するためにローカルアクセスが必要です。悪用に成功すると、ホストシステム上の任意のファイルの読み取りまたは書き込みが可能になり、エージェントメモリ、設定、認証情報が侵害される可能性があります。
影響を受けるシステム
影響を受ける MCP サーバー実装を使用する AI エージェントデプロイメント: ezequiroga/mcp-bases (研究論文検索)、fatbobman/mail-mcp-bridge (電子メール統合)、および NousResearch/hermes-agent (マルチプラットフォームエージェントフレームワーク)。これらはコミュニティ貢献の MCP サーバーで、通常はエンタープライズ規模の本番環境ではなく実験的またはカスタムエージェント AI ワークフローで使用されます。
緩和策
GitHub リポジトリでパッチまたは各メンテナーからのセキュリティアドバイザリを確認してください。hermes-agent については、利用可能な場合は 0.8.0 より後のバージョンにアップグレードしてください。暫定的な対策として、MCP ツール呼び出しの周辺に入力検証ラッパーを実装して、サーバーに到達する前にパス関連の引数を検証してください。MCP サーバーのネットワーク公開を制限し、最小限のファイルシステムパーミッションでサーバーを実行してください。組織は MCP サーバーインベントリを監査し、機密データを処理するサーバーへのパッチ適用を優先すべきです。