취약점  ·  2026-07-07

Amazon mcp-gateway-registry — 메트릭 서비스 보유 정책 관리의 SQL 주입

취약점High 영향도GlobalCVE-2026-14471
AWS의 MCP Gateway Registry의 메트릭 서비스 컴포넌트는 매개변수화 없이 사용자 제공 table_name 매개변수를 보간하여 SQL 문을 작성하므로, 인증된 공격자가 임의의 SQL을 주입할 수 있습니다.
MCP 게이트웨이/레지스트리 서비스는 엔터프라이즈 에이전트 AI 도구 검색 및 라우팅을 위한 제어 평면에 위치합니다. 여기의 SQL 주입은 인증된 저권한 사용자가 에이전트가 호출할 수 있는 MCP 도구를 지배하는 레지스트리 메타데이터를 읽거나 손상시킬 수 있도록 하여 전체 에이전트 도구 플릿의 신뢰 경계를 약화시킬 수 있습니다.
메트릭 서비스 보유 정책 관리 컴포넌트의 특수 요소에 대한 부적절한 중립화는 인증된 원격 사용자가 SQL 문에 직접 보간되는 만들어진 table_name 값을 통해 임의의 SQL 쿼리를 실행할 수 있게 합니다.
Amazon mcp-gateway-registry, 1.0.13 이전 버전
AWS 보안 게시판 2026-052-aws에 따라 mcp-gateway-registry >= 1.0.13로 업그레이드하세요.
NVD CVE-2026-14471AWS Security Bulletin 2026-052
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →