事件经过
MCP数据库工具箱中的经过身份验证的授权绕过(CVSS 8.6)于2026年6月18日发布到NVD。虽然2025-11-25协议版本正确强制执行每个工具的scopesRequired限制,但较旧的受支持协议版本处理程序不应用范围强制。因此,经过身份验证的用户可以通过连接到较旧协议版本来访问他们无权使用的工具,绕过对数据库工具调用的预期最小权限控制。
影响分析
范围强制是限制AI代理(或MCP接口用户)可以执行的数据库操作的主要机制。绕过它允许经过身份验证但低权限的调用者调用他们无权访问的受限高权限数据库工具——启用应被限制的数据泄露、模式修改或破坏性写入。
攻击途径
经过身份验证的攻击者使用跳过范围强制的较旧受支持协议版本连接到MCP工具箱。攻击者然后调用他们无权访问的scopesRequired限制的工具。
受影响系统
googleapis/mcp-toolbox(PR #3049中的修复之前的版本)
缓解措施
应用来自googleapis/mcp-toolbox PR #3049的修复。在可能的情况下禁用或弃用较旧协议版本处理程序。参见:https://github.com/googleapis/mcp-toolbox/pull/3049