何が起きたか
2026年6月18日、Google の MCP Toolbox for Databases に 2 つの重大な認証バイパス脆弱性 (各 CVSS 9.3) が NVD に公開されました。CVE-2026-11717: OAuth 2.0 introspection endpoint (RFC 7662) を介して opaque token を検証する際、toolbox は応答を introspectResp struct にデコードしますが、'active' フィールドが false であるかどうかを確認できません。これは、期限切れまたは失効したトークンが有効として扱われることを意味します。CVE-2026-11718 は同じ validateOpaqueToken パスの関連する欠陥を説明しており、introspection response の追加フィールドが検証されず、さらなるバイパス条件を許可します。両方とも、認証されていない、または認可されていない呼び出し元が MCP ツールおよびそれらが接続するデータベースにアクセスすることを許可します。
なぜ重要か
MCP Toolbox for Databases は、AI エージェントをエンタープライズ データベース (Cloud SQL、Spanner、AlloyDB、PostgreSQL、MySQL、SQLite) に接続するための Google の公式 MCP サーバーです。ここでの認証バイパスは、MCP エンドポイントに到達できる任意の攻撃者が、有効な認証情報なしにデータベース読み取り/書き込みツールを呼び出すことができることを意味します。つまり、AI エージェントが正当にアクセスできるデータを窃取または破損させることができます。このパッケージは googleapis によって保守されており、Google Cloud 環境で大規模に展開されている可能性があります。
攻撃経路
攻撃者が、期限切れ、失効、またはその他の無効な opaque token を MCP Toolbox introspection endpoint に提示します。サーバーは OAuth introspection endpoint を呼び出しますが、'active: false' レスポンス フィールドを無視して、攻撃者にすべての MCP ツールおよび接続されたデータベースへのアクセスを許可します。
影響を受けるシステム
googleapis/mcp-toolbox (PR #3341 および #3360 での修正前のすべてのバージョン)
緩和策
googleapis/mcp-toolbox PR #3341 (CVE-2026-11717) および #3360 (CVE-2026-11718) からパッチを適用してください。詳細: https://github.com/googleapis/mcp-toolbox/pull/3341 および https://github.com/googleapis/mcp-toolbox/pull/3360