技术说明
在AI代理使用的 Model Context Protocol (MCP) 服务器实现中披露了四个高危和中危路径遍历漏洞。CVE-2026-7384 (CVSS 7.3) 影响 ezequiroga/mcp-bases 中的 search_papers 功能,允许操纵 topic 参数。CVE-2026-7386 (CVSS 7.3) 影响 fatbobman/mail-mcp-bridge,可通过 message_ids 参数利用。CVE-2026-7396 (CVSS 5.3) 影响 NousResearch/hermes-agent 的微信企业版平台适配器。CVE-2026-7397 (CVSS 4.4) 是 NousResearch/hermes-agent 文件工具中的符号链接跟随缺陷,需要本地访问权限。这四个漏洞均于2026年4月29日发布到 NVD。
攻击途径
攻击者操纵传递给 MCP 服务器工具的函数参数(topic、message_ids、文件路径)以遍历到预期目录之外。对于 CVE-2026-7384 和 CVE-2026-7386,可通过向 MCP 服务器发送恶意请求实现远程利用。对于 CVE-2026-7397,需要本地访问权限来利用符号链接跟随行为。成功利用可实现在主机系统上读取或写入任意文件,可能危及代理内存、配置或凭据。
受影响系统
使用受影响 MCP 服务器实现的AI代理部署:ezequiroga/mcp-bases(研究论文搜索)、fatbobman/mail-mcp-bridge(邮件集成)和 NousResearch/hermes-agent(多平台代理框架)。这些是社区贡献的 MCP 服务器,通常用于实验性或自定义的代理AI工作流程,而非企业级生产环境。
缓解措施
检查 GitHub 仓库以获取相关维护者的补丁或安全公告。对于 hermes-agent,如果可用,请升级到 0.8.0 之后的版本。作为临时控制措施,在 MCP 工具调用周围实现输入验证包装器,以在参数到达服务器之前清理路径相关参数。限制 MCP 服务器的网络暴露并以最小文件系统权限运行服务器。组织应审计其 MCP 服务器清单,优先修补处理敏感数据的服务器。