何が起きたか
Apache Doris MCP Serverには、ユーザー制御のデータベース名がパラメータ化されずにSQLクエリに直接挿入されるメタデータクエリパスにおけるSQL インジェクション脆弱性が存在し、クエリは呼び出し元の認可コンテキストを経由せずに実行されます。これにより、認証済み攻撃者、またはMCPサーバーが認証なしで公開されている場合は匿名攻撃者がSQL インジェクションを実行することを可能にします。CVSS 8.1 高; 2026-06-22にApacheメーリングリストアドバイザリで公開。
なぜ重要か
Apache Dorisのようなデータウェアハウス向けMCPサーバーは、LLMエージェントに本番分析データに対する直接SQLクエリ機能を提供するために使用されます。MCPサーバーのメタデータパスにおけるSQL インジェクションにより、攻撃者(またはプロンプトインジェクションされたエージェント)は任意のデータを読み取り、行レベルセキュリティをバイパスし、またはデータベースネイティブ関数経由でRCEを達成できる可能性があり、LLMのデータアクセスツールを直接的なデータベース攻撃ベクトルに変える可能性があります。
攻撃経路
認証済み(または認証なしで公開されている場合は匿名)攻撃者がDoris MCP Serverのメタデータクエリパスに細工されたデータベース名を提供し、SQL インジェクションを実現します。
影響を受けるシステム
Apache Doris MCP Server (Apacheアドバイザリに従ったバージョン)
緩和策
Apacheアドバイザリに従ってApache Doris MCP Serverパッチを適用します。アドバイザリ: https://lists.apache.org/thread/4l4v3m7ofwrgp4s4s98pjb5l03fcrzo2; NVD: https://nvd.nist.gov/vuln/detail/CVE-2025-66336