何が起きたか
GitHub公式MCPサーバーバージョン0.22.0から1.1.1は、HTTPモードで--lockdown-modeで実行する際のクロステナント承認欠陥を含みます。RepoAccessCacheはプロセスグローバルシングルトンであり、最初のユーザーの認証情報で初期化されます。その後のユーザーは同じキャッシュとGraphQLクライアントを共有し、リポジトリアクセス制御をバイパスして、プライベートリポジトリへの無許可アクセスを潜在的に許可します。
なぜ重要か
GitHubの公式MCPサーバーはAIコーディングエージェントとGitHubリポジトリ間の主要なブリッジです。MCPサーバー内のクロステナント間アクセスは、あるユーザーに代わって動作するAIエージェントが別のユーザーのプライベートリポジトリに意図的にまたは悪意あるようにアクセスできることを意味し、ソースコード、リポに保存された秘密、およびプロプライエタリAIトレーニングデータまたはモデル構成を露出させます。
攻撃経路
HTTPモードで--lockdown-modeで実行する場合、RepoAccessCacheはプロセスグローバルシングルトンとして初期化され、最初の認証されたユーザーのGraphQLクライアントを使用します。その後のすべてのリクエストは異なるユーザーから同じクライアントを再利用し、最初の認証されたユーザーのみのために認可されたリポジトリにアクセスできることを意味します — クロステナント間承認バイパス。
影響を受けるシステム
github-mcp-server 0.22.0 – 1.1.1(1.1.2で修正)
緩和策
github-mcp-server 1.1.2にアップグレードしてください。アドバイザリ:https://github.com/github/github-mcp-server/security/advisories/GHSA-pjp5-fpmr-3349