何が起きたか
MCP Toolbox for Databasesの認証済み認可バイパス (CVSS 8.6) は2026年6月18日にNVDに公開されました。2025-11-25プロトコルバージョンは正しくツール単位のscopesRequired制限を強制していますが、それより古いサポートされているプロトコルバージョンハンドラーはスコープ強制を適用していません。そのため、認証されたユーザーが古いプロトコルバージョンを経由して接続することで、認可されていないツールにアクセス可能であり、データベースツール呼び出しに対する意図された最小権限制御をバイパスすることができます。
なぜ重要か
スコープ強制は、AIエージェント (またはMCPインターフェースのユーザー) が実行可能なデータベース操作を制限する主要なメカニズムです。これをバイパスすると、認証済みだが低権限の呼び出し元が高権限のデータベースツールを呼び出すことが可能になり、データ流出、スキーマ変更、または制限されるべき破壊的な書き込みが実現されます。
攻撃経路
認証済み攻撃者がスコープ強制をスキップするサポートされている古いプロトコルバージョンを使用してMCP Toolboxに接続します。その後、攻撃者はscopesRequiredで制限されたアクセス権限を持たないツールを呼び出します。
影響を受けるシステム
googleapis/mcp-toolbox (PR #3049の修正前のバージョン)
緩和策
googleapis/mcp-toolbox PR #3049の修正を適用してください。可能な限り古いプロトコルバージョンハンドラーを無効化または非推奨にしてください。参照: https://github.com/googleapis/mcp-toolbox/pull/3049