事件经过
googleapis/mcp-toolbox 中 HTTP 工具 URL 构建器存在路径遍历漏洞(CVSS 9.3 严重)。在构造下游 API 请求时,URL 构建器将用户控制的 pathParams 替换到配置的工具路径中,并将结果字符串解析为相对 URL。虽然它检查初始路径是否以预期前缀开头,但包含路径遍历序列(例如"../")的精心构造的 pathParam 在 URL 解析后可以逃逸预期的路径前缀,将 MCP 工具的 HTTP 请求重定向到任意上游端点。
影响分析
MCP Toolbox 是 Google 的官方库,用于构建将 AI 代理连接到后端 API 的 MCP 服务器。恶意提示或工具输入可能导致代理向非预期的内部服务发出 HTTP 请求、从内部 API 泄露数据、或通过定向到运营商从未打算暴露的端点来绕过访问控制。严重的 CVSS 评分(9.3)反映了从代理角度来看不需要身份验证的事实。
攻击途径
攻击者通过 LLM 代理提示或恶意工具输入提供包含路径遍历序列(例如"../../admin")的精心构造的 pathParam 值;MCP Toolbox URL 构建器构造对非预期上游 API 端点的请求。
受影响系统
googleapis/mcp-toolbox(PR #3218 修复前的受影响版本)
缓解措施
应用来自 GitHub PR #3218 的修复:https://github.com/googleapis/mcp-toolbox/pull/3218。监测 Google 发布的更新版本。