무슨 일이 있었나
2026년 6월 18일 NVD에 공개된 Google의 MCP Toolbox for Databases의 두 가지 중대한 인증 우회 취약점(각각 CVSS 9.3). CVE-2026-11717: OAuth 2.0 introspection endpoint(RFC 7662)를 통해 opaque token을 검증할 때, 이 toolbox는 응답을 introspectResp 구조체로 디코딩하지만 'active' 필드가 false인지 확인하지 않음 — 즉, 만료되었거나 해지된 토큰이 유효한 것으로 처리됨. CVE-2026-11718은 동일한 validateOpaqueToken 경로의 관련 결함으로, introspection 응답의 추가 필드가 검증되지 않아 추가적인 우회 조건을 허용함. 둘 다 인증되지 않은 또는 권한이 없는 호출자가 MCP 도구 및 이들이 연결된 데이터베이스에 접근할 수 있게 함.
왜 중요한가
MCP Toolbox for Databases는 AI 에이전트를 엔터프라이즈 데이터베이스(Cloud SQL, Spanner, AlloyDB, PostgreSQL, MySQL, SQLite)에 연결하기 위한 Google의 공식 MCP 서버임. 여기서의 인증 우회는 MCP endpoint에 도달할 수 있는 모든 공격자가 유효한 자격증명 없이 데이터베이스 읽기/쓰기 도구를 호출할 수 있다는 뜻 — AI 에이전트가 접근할 수 있도록 허가된 데이터를 유출하거나 손상시킬 수 있음. 이 패키지는 googleapis에서 유지관리되며 Google Cloud 환경에서 대규모로 배포될 가능성이 높음.
공격 경로
공격자가 만료되었거나, 해지되었거나, 유효하지 않은 opaque token을 MCP Toolbox introspection endpoint에 제시함. 서버가 OAuth introspection endpoint를 호출하지만 'active: false' 응답 필드를 무시하고 공격자에게 모든 MCP 도구 및 연결된 데이터베이스에 대한 접근 권한을 부여함.
영향받는 시스템
googleapis/mcp-toolbox (PR #3341 및 #3360의 수정 이전의 모든 버전)
완화 방안
googleapis/mcp-toolbox PR #3341(CVE-2026-11717) 및 #3360(CVE-2026-11718)의 패치를 적용함. 참조: https://github.com/googleapis/mcp-toolbox/pull/3341 및 https://github.com/googleapis/mcp-toolbox/pull/3360