事件经过
两个关键身份验证绕过漏洞(每个CVSS 9.3)于2026年6月18日在Google的数据库MCP工具箱中发布到NVD。CVE-2026-11717:当通过OAuth 2.0内省端点(RFC 7662)验证不透明令牌时,工具箱将响应解码为introspectResp结构,但未检查"active"字段是否为false——这意味着过期或被撤销的令牌被视为有效。CVE-2026-11718描述了同一validateOpaqueToken路径中的相关缺陷,其中内省响应中的其他字段未被验证,允许进一步的绕过条件。两者都允许未认证或未授权的调用者访问MCP工具和它们连接的数据库。
影响分析
MCP数据库工具箱是Google官方的MCP服务器,用于将AI代理连接到企业数据库(Cloud SQL、Spanner、AlloyDB、PostgreSQL、MySQL、SQLite)。此处的身份验证绕过意味着任何能够到达MCP端点的攻击者都可以调用数据库读/写工具而无需有效凭证——泄露或破坏AI代理有权访问的数据。该包由googleapis维护,可能在大规模的Google Cloud环境中部署。
攻击途径
攻击者向MCP工具箱内省端点提出过期、被撤销或以其他方式无效的不透明令牌。服务器调用OAuth内省端点但忽略"active: false"响应字段,授予攻击者对所有MCP工具和连接数据库的访问权限。
受影响系统
googleapis/mcp-toolbox(PR #3341和#3360中的修复之前的所有版本)
缓解措施
应用来自googleapis/mcp-toolbox PR #3341(CVE-2026-11717)和#3360(CVE-2026-11718)的补丁。参见:https://github.com/googleapis/mcp-toolbox/pull/3341和https://github.com/googleapis/mcp-toolbox/pull/3360