기술 설명
AI 에이전트에서 사용되는 Model Context Protocol(MCP) 서버 구현에서 4개의 높음 및 중간 심각도 경로 순회 취약점이 공개되었습니다. CVE-2026-7384(CVSS 7.3)는 ezequiroga/mcp-bases의 search_papers 함수에 영향을 미치며, topic 매개변수 조작을 허용합니다. CVE-2026-7386(CVSS 7.3)은 fatbobman/mail-mcp-bridge에 영향을 미치며, message_ids 인자를 통해 악용 가능합니다. CVE-2026-7396(CVSS 5.3)은 NousResearch/hermes-agent WeChat Work 플랫폼 어댑터에 영향을 미칩니다. CVE-2026-7397(CVSS 4.4)은 로컬 접근이 필요한 NousResearch/hermes-agent 파일 도구의 심링크 추종 결함입니다. 4개 모두 2026년 4월 29일에 NVD에 게재되었습니다.
공격 경로
공격자는 MCP 서버 도구에 전달되는 함수 인자(topic, message_ids, 파일 경로)를 조작하여 의도된 디렉터리 밖으로 순회합니다. CVE-2026-7384 및 CVE-2026-7386의 경우, MCP 서버에 조작된 요청을 전송하여 원격 악용이 가능합니다. CVE-2026-7397의 경우, 심링크 추종 동작을 악용하려면 로컬 접근이 필요합니다. 성공적인 악용으로 호스트 시스템의 임의 파일을 읽거나 쓸 수 있으며, 에이전트 메모리, 구성 또는 자격증명이 손상될 수 있습니다.
영향받는 시스템
영향을 받는 MCP 서버 구현을 사용하는 AI 에이전트 배포: ezequiroga/mcp-bases(연구 논문 검색), fatbobman/mail-mcp-bridge(이메일 통합), NousResearch/hermes-agent(다중 플랫폼 에이전트 프레임워크). 이들은 커뮤니티 기여 MCP 서버로, 엔터프라이즈 규모 프로덕션이 아닌 실험적 또는 맞춤형 에이전트 AI 워크플로우에서 일반적으로 사용됩니다.
완화 방안
패치 또는 각 유지관리자의 보안 권고를 위해 GitHub 저장소를 확인하세요. hermes-agent의 경우, 사용 가능하면 0.8.0보다 이후 버전으로 업그레이드하세요. 임시 제어로서 경로 관련 인자를 서버에 도달하기 전에 정제하기 위해 MCP 도구 호출 주변에 입력 검증 래퍼를 구현하세요. MCP 서버 네트워크 노출을 제한하고 최소 파일시스템 권한으로 서버를 실행하세요. 조직은 MCP 서버 인벤토리를 감사하고 민감한 데이터를 처리하는 서버 패칭을 우선시해야 합니다.